УЯЗВИМОСТИ ZOOM 2020
В январе 2020 года специалисты информационной безопасности обнаружили баг в сервисе для видеоконференций Zoom. Злоумышленники могли получить доступ к видеоконференциям, аудио- и видеофайлам, а также пересылаемым документам, благодаря особенностям генерации URL-адресов для виртуальных конференц-залов. После выявления уязвимости, разработчики Zoom внесли ряд корректировок в работу своего сервиса (пароли, проверка ID, блокировка устройств при повторяющемся сканировании).
В марте 2020 года Zoom оказалась в центре скандала, связанного с передачей данных в Facebook от новой версии приложения для iOS. Владельцы сервиса получили коллективный судебный иск.
Из-за пандемии CoVID-19 и многочисленного перехода Компаний на удаленный режим работы, популярность сервиса Zoom многократно выросла. Однако, многие специалисты ИБ, продолжают критиковать сервис:
- Сервис не имеет сквозного шифрования;
- Сбор данных пользователи и их видеоконференций (имена, адреса и любые другие ID, информация о занимаемой должности и работодателе, профили Facebook и спецификации устройств, а также любой контент, которым делились при помощи сервиса);
- Клиент Zoom для ОС Windows «сливает» учетные данные пользователей через UNC-ссылки (при нажатии пользователем на UNC-ссылку ОС Windows попытается подключиться к удаленному сайту используя протокол SMB. При этом ОС передаст имя пользователя и его NTML хеши, которые затем могут быть подвержены взлому. Также могут быть и запущены некоторые программы на локальном компьютере);
- Пользователи, с email-адресами в одном домене, автоматически добавляются в адресную книгу друг друга. В данном случае, это некорректная работа настройки Company Directory, созданную специально для поиска коллег из Компании.
Мы продолжим следить за ситуаций вокруг сервиса Zoom.
Для предотвращения проникновения злоумышленников в сети Вашей Компании мы рекомендуем воспользоваться нашим специальным предложением по организации максимально безопасной удаленной работы, которое состоит из передовых решений Наших Партнеров.