Российские СМИ

В Zoom опять утечка — не повезло пользователям <<Яндекса>>. Хакером может стать любой, достаточно регистрации

Валерия Зеновина Валерия Зеновина

Zoom раскрывает личные данные пользователей "Яндекса". И хакером тут быть не нужно - достаточно регистрации

Популярный в эпоху пандемии сервис видеоконференций Zoom способен раскрыть данные десятков пользователей — достаточно зарегистрироваться в определённом домене. Сервис почему-то считает многих людей сотрудниками одной большой и дружной компании. Белорусам и казахам, которые пользуются <<Яндексом>>, особенно не повезло, но и любителям необычных адресов стоит насторожиться.

В понедельник, 6 апреля, <<Ведомости>> сообщили, что сервис видеоконференций Zoom способен раскрыть личные адреса и телефоны пользователей. Корреспондент издания зарегистрировался в сервисе через почту на домене для Казахстана (@yandex.kz). После входа в систему он получил данные 999 пользователей с почтой на аналогичном домене — включая их номера телефонов. Такой же результат получился после регистрации на белорусском домене (@yandex.by). Без труда удалось получить и данные юзеров, которые зарегистрированы в Zoom с адресами на @citydom.ru («Дом.ру») и @starlink.ru (провайдер Starlink).

Как поясняет издание, в Zoom нет каталога пользователей, который доступен всем. Чтобы узнать сведения о юзере или позвонить ему, нужно добавить человека в контакты, заранее зная адрес почты или номер телефона. Однако при этом сервис воспринимает любой нестандартный адрес электронной почты как корпоративный и автоматически объединяет пользователей с ним в <<каталог компании>> — и в этом случае данные становятся известны всем людям, которых Zoom считает коллегами.

В сервисе есть защита от таких инцидентов, но не самая убедительная — чёрный список публично доступных доменов, для которых функция каталога не действует. Zoom не позволяет узнать данные пользователя с адресом от Gmail, Yahoo! и Hotmail (Outlook).

Для основных доменов <<Яндекса>>, Mail.ru и <<Рамблера>> функция каталога тоже недоступна. Однако это ограничение можно легко обойти, полагает корреспондент <<Ведомостей>>.

Каждый из этих сервисов позволяет выбрать альтернативный бесплатный домен, например, @list.ru вместо @mail.ru или @ya.ru вместо @yandex.ru. Некоторые из этих вариантов Zoom, видимо, распознает как <<компанию>>.

Компаниям и пользователям приходится обращаться непосредственно в Zoom, чтобы определённые домены внесли в список исключений.

Как уточнил <<Яндекс>>, сервис Zoom получает только данные, которые пользователь сам вводит при регистрации. То, что хранится в учётной записи <<Яндекс.Паспорт>>, остаётся недоступным. Однако компания уже обратилась в Zoom с просьбой убрать функцию каталога компании для доменов @yandex.by и @yandex.kz.

Это далеко не первая проблема Zoom, связанная с персональными данными. А ведь сейчас эта программа на пике популярности из-за массового перехода на удалёнку в условиях пандемии. Программисты бьют тревогу с конца марта 2020 года, ведь сервис ведёт себя, как вредоносная программа. И разработчики, похоже, осознают проблему — они даже временно отказались от обновлений и бросили все силы на улучшение безопасности.