Записи видеозвонков пользователей Zoom оказались общедоступны

Тысячи записей видеозвонков сервиса Zoom оказались размещены в открытом доступе в Сети. Записи видеозвонков были обнаружены на площадках YouTube и Vimeo. Удалось выявить записи разного характера, в том числе раскрывающие конфиденциальные данные частных лиц и компаний.

Поскольку Zoom использует единую схему присвоения имён видеороликам, с помощью обычных поисковых запросов можно найти массу записей с участием пользователей сервиса. Zoom не записывает видео по умолчанию, но предоставляет такую возможность для пользователей.

Среди них, общение пациентов с врачами, обучение детей школьного возраста, рабочие совещания разных компаний и др. Во многих случаях в записях содержатся данные, позволяющие установить личность запечатлённых на видео людей, а также раскрывающие конфиденциальную информацию о них.

У сервиса видеоконференций Zoom обнаружилась еще одна проблема, связанная с персональными данными. Как пишет издание Vice, сервис может автоматически добавлять своих пользователей в контакты друг к другу и тем самым раскрывать их личные данные – адреса электронной почты, имена, фамилии и фотографии. На утечку первыми обратили внимание жители Нидерландов, которые пользуются почтой от местных провайдеров.

Корреспондент «Ведомостей» убедился, что алгоритмы сервиса настроены не идеально – после регистрации в Zoom с помощью почты на @yandex.kz (домен для Казахстана) и входа в систему ему стали доступны данные 999 других пользователей с почтой на @yandex.kz, в том числе их номера телефонов. Столько же контактов стали доступны при регистрации с почтой на @yandex.by (для Белоруссии). Также удалось узнать данные нескольких десятков людей, зарегистрировавшихся в Zoom с адресами на @citydom.ru (провайдер «Эр-телеком холдинг», бренд «Дом.ру») и @starlink.ru (провайдер Starlink). При регистрации на @yandex.ua, альтернативных доменах «Рамблера» (@ro.ru, @autorambler.ru) и Mail.ru (@list.ru, @bk.ru) сервис работал корректно.

В Zoom нет общедоступного каталога пользователей: чтобы просмотреть сведения о пользователе или позвонить ему, человек должен сначала добавить его в контакты по адресу почты или номеру телефона. Однако Zoom автоматически объединяет пользователей корпоративной почты в «каталог компании». Причина утечки заключается в том, что Zoom воспринимает любой нестандартный адрес электронной почты как корпоративный, цитирует Vice слова пользователя, заметившего утечку. После регистрации с доменом @xs4all.nl он увидел данные 995 других пользователей с этим же доменом.

Zoom ведет черный список «публично доступных доменов», для которых функция каталога не включается, передает Vice слова представителя Zoom. Среди них – адреса от Gmail, Yahoo! и Hotmail (Outlook), указано на сайте сервиса. Каталоги также не работают для основных доменов «Яндекса», Mail.ru и «Рамблера». Однако каждый из этих сервисов позволяет выбрать альтернативный бесплатный домен – например, @list.ru вместо @mail.ru или @ya.ru вместо @yandex.ru. Некоторые из этих вариантов Zoom, видимо, распознает как «компанию».

Владельцы доменов могут обратиться в Zoom, чтобы тот добавил их в специальный список, передает Vice слова представителя Zoom. По его словам, компания уже заблокировала функцию каталогов для доменов, с которыми возникли проблемы. Позднее генеральный директор Zoom Эрик Юань заявил, что сервис приостанавливает развертывание новых функций и отключает некоторые из существующих – в частности, возможность следить за тем, что участники конференции делают на своих устройствах. Он не упомянул функцию каталогов компаний, российские адреса продолжали появляться в каталогах после заявления гендиректора Zoom.

Zoom не получает данных, которые хранятся в учетной записи «Яндекса» («Яндекс.Паспорте»), а оперирует той информацией, которую пользователь самостоятельно вводит при регистрации в Zoom, уточнили «Ведомостям» в «Яндексе». Компания уже обратилась в Zoom с просьбой добавить адреса на доменах @yandex.by и @yandex.kz в список исключений. «Эр-телеком холдинг» также направил запрос в Zoom об устранении некорректности в работе сервиса, сказали «Ведомостям» в пресс-службе компании. «Ведомости» направили запрос в Zoom по поводу российских сервисов, а также запрос в Starlink.

Сервис Zoom столкнулся с наплывом пользователей после пандемии коронавируса и объявленных во многих странах ограничениях на передвижение населения. Zoom был запущен в 2013 г. с расчетом на b2b-сегмент рынка видеоконференций. Помимо групповых видеозвонков он позволяет организовывать видеосеминары и открывать горячие линии по телефону. По словам Юаня, в марте число участников конференций выросло до 200 млн человек за день, в декабре 2019 г. в Zoom общалось в среднем 10 млн человек в день.

Раскрытие личных данных пользователей – это не первая проблема с приватностью в Zoom. Стандартные настройки Zoom позволяют злоумышленникам подключаться к конференциям без ведома организаторов и выводить на экраны порнографию и оскорбительные материалы, пишет The New York Times. Клиент Zoom для iOS передавал данные пользователей компании Facebook, а клиент для Windows позволял хакерам получить учетные данные от компьютера; в апреле компания заявила, что устранила эти проблемы. После этого The Washington Post сообщила о бреши в функции записи разговоров в Zoom, из-за которой более 15 000 личных видеозвонков оказались в открытом доступе.

via

я там с тёщу нахуй посылал

А вацапские видеозвонки так не слили? Если что - это был не я. Меня подставили.

Начались вбросы конкурентов. Если предоставляют возможность записывать пользователям видео, то сервис тут причём?
Можно записать любое видео путём захвата видео с экрана? И что? Давайте microsoft обосрём...
тьфу..

видео с эротическим содержанием будет?

Порнохаба уже мало?)

Размещено через приложение ЯПлакалъ

А как воспользоваться этим сервисом с нокии 3310?

Как посмотреть zoom канал Берковой? Сосед просит инструкцию.


Это сообщение отредактировал revun - 6.04.2020 - 10:59

Кому нужен урок русского языка 6 го класса 28 ой школы - налетай!
Личные данные всех двоечников, вся подноготная теперь без цезуры и квадратиков!

У вас в слове "канал" буква К лишняя.

Ну хоть бы UUID для названия видео использовали бы

Блядь, а кто-нибудь мне объяснит, НАХУЯ миру 100500 разнообразных мессенджеров и столько же всяких говносервисов видеозвонков/конференций и т.д.??? Ну вот НАХУЯ, РЕАЛЬНО? Ладно, были бы свои, vip, приватно-секьюрно-корпоративные... но общемировые? Нахуя мне в телефоне одноверменно вибер/вацап/телега/хенгаутс/скайп и прочая ебанина??? Спрашиваешь людей - хули ты в вибере, а не в ввацапе? Говорит, вибер круче... ЧЕМ, БЛЯДЬ, КРУЧЕ? Там шрифты с вязью что-ли? Нахуй вот эти зумы/хуюмы нужны. Скайпа мало чтоли? Или вацап-звонков? Или хенгаутса нет? Или еще охулиарда подобных говносервисов?

В Zoom можно пароль на конференцию поставить. Но нам же не нужно.
Удобство и безопасность всегда соперничают друг с другом.

Этот сервис сейчас лежит, поскольку вся школота на нем сидит на удаленке.
Так что, что-бы раздать свои контакты, к нему надо сначала подключиться.
А это сейчас тот еще квест.

Основная задача этого сервиса - видео-аудо конференции, а не мессенджер.
Если тебе все равно, что использовать для конференций - значит ты их ни разу не проводил и/или не участвовал в них.

Это сообщение отредактировал holger - 6.04.2020 - 12:12

Расскажи как в скайпе собрать конференцию на 30 человек.

Неа, дружок... они у меня прекрасно на Asterisk с WebRTC клиентами работают. На МОЕМ серваке, а не на хуйпойми чьем... Потому что я еще пока в уме, и доверять корп трафик неизвестным господам не желаю.

Кроме того, чем плох хенгаутс? Конференции вполне прекрасно работают... Нахуя еще 100500 форков одного и того-же?

Это сообщение отредактировал treeton - 6.04.2020 - 13:17

блт... там порнолаб свободный доступ открыл - а они какую то хербь высматривают

тьфу

а нахуй тебе вообще собирать конференцию? По работе? Ну так пни сисадмина своего - пусть правильные корпоративные сервисы на емкостях компании поднимает, а не через весь мир свое говно гоняет, оставляя его на куче левых серваков. Видно мало вас ебут за безопасность, коли не доходит до головушек. А для дома если и для личных нерабочих целей, то и скайпа хватит.

Как прочно в ваши головы "облака"-то залезли... Вы, ребята, вообще не понимаете - что вы творите и сколько полезной и ИНТИМНОЙ инфы вы своими собственными ручками сливаете и ведетесь на всякую лажу и банальные разводы. Вам "нечего скрывать"? Да вы долбоеб, попросту, если так говорите. Но хуй с ним с вами... Вы же, суки, пользуете всякие облачные с-ки, сбисы/контуры и прочую ебь, куда с упоротыми рожами сливаете поголовно ВСЮ пресоналку по своим работникам. САМИ сливаете, по ОТКРЫТЫМ КАНАЛАМ, хотя этого можно и не делать - просто пользовать эти сервисы несколько иначе... Сливаете насрав на 152ФЗ. Ах, вас еще за это не ебли? Ну ждите... может хоть так дойдет... А потом мы удивляемся, когда такие как эта темы читаем... "Как-же так! Кто-же это сделал! Ай-ай-ай!"

Это сообщение отредактировал treeton - 6.04.2020 - 12:37

Своего-то можно и пнуть. А если люди из разных компаний, то чьего пинать?

По своему опыту отметил (хотя он, конечно, не показательный), что американцы предпочитают go2meeting, а европейцы - zoom.

А если люди с разных компаний - своего пнуть еще раз. А людям объяснить за конфиденциальность. Если им похуй к какому "открытому" говну цепляться (типа того-же зума или скайпа), то пусть к вам напрямую цепляются. Им же все равно похуй. А если у них безопасники не долбоебы, и им не похуй, то вряд ли они будут юзать "облачные" сервисы... у них будет либо их личное корпоративное, либо вашим воспользуются, как договоритесь... и это уже не суть важно будет, т.к. "клиенты" настраиваются за 5 сек... Я для "межконторных" конференций можно отдельные dmz организовать, но СОБСТВЕННЫЕ. И всем хорошо и все секьюрно.

Тут некто Тимур спрашивал: «Где записи?»

Размещено через приложение ЯПлакалъ

Ты из какой параллельной вселенной пишешь? Не знаешь что в мире творится? Да этим сервисом школьники в основном сейчас пользуются, уроки по удаленке проводят.

Тебя забыли спросить... Ты совсем даун? Тебе кириллицей по фуллейчди экрану пишут, что этим школота активно пользуется . Какие нахуй сисадмины (тем более не дай Бог еще такие дуболомы, как ты...) в щколах? Учителя осваивают ИТ, организовывают удаленку, честь и хвала им за это. А ты тут сидишь, словами пердишь, даже не вникая в суть обсуждаемого...