Еще в начале года о платформе для видеоконференций знали единицы, но на сегодняшний день новости о Zoom можно часто встретить в новостных лентах популярных сайтов. В связи с введенным режимом самоизоляции сервис стал использоваться большим потоком людей для удаленной коммуникации. Известность платформе также принесли факты слива и рейда конференций.
Последние новости о Zoom Video Communications
Основные сливы и рейды конференций в Zoom начались в апреле текущего года – повсеместно изначально появлялись жалобы на ухудшение качества работы платформы, в дальнейшем на утечку личных данных, в частности, записей конференций.
Однако об уязвимости компании стало известно еще октябре 2019 года. Обнаружилось, что злоумышленники могут подключаться и прослушивать чужие видеозвонки (при учете, что не установлены пароли) путем вычисления идентификатора активных конференций с помощью бота. В том момент особого внимания проблеме не уделили, внесли небольшие изменения в настройки учетной записи.
Слив персональных данных и фотографий
Во время использования Zoom Meetings сервис может собирать и обрабатывать без согласия участника следующие персональные данные – ФИО, должность и место работы, физический и IP-адрес, сведения об используемом устройстве, контакты.
В том числе информация передавалась в Facebook независимо от того, зарегистрирован пользователь в социальной сети или нет. Однако подобный пункт не указан в политике конфиденциальности компании.
В дальнейшем полученные данные используются онлайн-сервисами для настройки таргетированной рекламы.
Наиболее крупная утечка информации произошла в начале апреля. В даркнете сотрудники отдела кибербезопасности компании Cyble обнаружили базу данных порядка 530 тыс. пользователей Zoom – электронные адреса, пароли, персональные ссылки на конференции и хост-ключи.
Утечка видеозаписей конференций
Также в начале апреля 2020 года на видеохостингах YouTube и Vimeo стали появляться сливы чужих конференций из Zoom. На роликах кроме личных разговоров пользователей можно было найти:
- рабочие совещания малого бизнеса и крупных компаний;
- занятия с учениками начальных классов;
- сеансы с психотерапевтом;
- консультации с врачами.
Причиной сливов видеозаписей является сохранение файлов в едином облачном хранилище. Найти и просмотреть чужие трансляции ранее мог каждый пользователь через личный профиль – наименование одного ролика может совпадать с другими. Поэтому при вводе названия в общем поиске мог всплыть целый поток материалов.
Взлом чужих трансляций
В результате слива данных, в частности, ссылок и идентификаторов конференций, к чужим видеочатам стали подключаться сторонние пользователи с целью хулиганства. Во время школьных занятий или рабочих совещаний интернет-хулиганы включали ролики или отправляли фото порнографического характера, вмешивались в разговоры.
В результате одной из подобных проделок возбудили уголовное дело на популярного в YouTube блогера Артура Амаева – пранкер не только неправомерно подключался к трансляциями, но также размещал записи в общем доступе на видеохостинге.
Отказ и запрет использования Zoom
В связи с ненадежностью сервиса сегодня крупные компании и учреждения запрещают собственным сотрудникам использовать Zoom Video Communications для проведения совещаний. В их числе:
- SpaceX;
- Google;
- НАСА;
- банк Standard Chartered;
- Министерство иностранных дел Германии;
- Правительство Индонезии;
- Сенат США.
Отказались от платформы Zoom Meetings также школы Нью-Йорка и Сингапура, в России – образовательные учреждения Саратова из-за опасения слива данных.
Вводимые меры безопасности компанией
После возникших серьезных проблем Zoom запустил 90-дневный марафон укрепления безопасности. На сегодняшний день можно увидеть следующие положительные результаты нововведений:
- поддержка шифрования AES 256 GCM;
- возможность выбора администратором центра обработки данных;
- усиление требований к сложности привязываемого пароля;
- установка защитных комбинаций на все видеозвонки, зала ожидания по умолчанию;
- сокрытие личных данных в окне конференции.
С дополнительной информацией о последних обновлениях можно найти на официальном сайте по следующей ссылке.
Как защитить личные данные в Zoom
Основная рекомендация для участников – использовать окно браузера для проведения конференций. Авторизация и коммуникация через официальный клиент чаще всего приводит к негативным последствиям.
Дополнительные меры безопасности:
- не использовать облачное хранилище – загружать записи трансляций на компьютер;
- установить пароль на вход в конференцию;
- запретить подключаться к видеочату отключенным пользователям;
- ограничить доступ к демонстрации экрана и съемке видеозвонка участникам.
Согласно последним новостям, рекомендуется обновить приложение Zoom до последней версии – добавлены новые опции, изменены параметры, позволяющие повысить безопасность и конфиденциальность пользования сервисом.
Основной поток негативных последствий недостаточной защиты сервиса Zoom пришелся на апрель 2020 года. Сегодня сообщения о взломе или сливе личных данных отсутствуют, однако это не отрицает возможности возникновения аналогичной ситуации. Несмотря на повышение безопасности платформы со стороны разработчиков, необходимо также самостоятельно предпринять меры для защиты персональной информации.