Zoom раскрывает персональные данные пользователей из-за ошибки в Company Directory
У сервиса видеоконференций Zoom обнаружилась еще одна проблема, связанная с персональными данными. Как сообщает издание Vice, сервис может автоматически добавлять своих пользователей в контакты друг к другу и тем самым раскрывать их личные данные.
Проблема заключается в реализации функции «Каталог компании» (Company Directory), которая объединяет пользователей корпоративной почты. Благодаря этой функции в список контактов пользователя Zoom автоматически попадают его коллеги, что позволяет им всем видеть информацию друг о друге, а также обмениваться звонками или сообщениями.
Критерием принадлежности нескольких пользователей к одной и той же организации Zoom считает совпадение доменного имени в адресах электронной почты. Исключение составляют публичные домены, такие как gmail.com, yahoo.com, hotmail.com и прочие. Вошедшие в сервис с использованием таких адресов не будут добавлены друг к другу в список контактов.
Тем не менее, почтовые ящики, заведенные на «нестандартных» или малораспространенных платформах, могут восприниматься сервисом видеоконференций как корпоративные, в результате чего все их владельцы из числа пользователей Zoom автоматически попадают в «Каталог компании» и получают доступ к обычно закрытым данным вроде полного имени, e-mail, фотографии и статуса.
Как заметили Ведомости, популярные российские e-mail-провайдеры – Яндекс, Mail.ru и Рамблер – при регистрации позволяют выбрать альтернативный домен. Некоторые адреса с такими доменами (например, @ya.ru вместо @yandex.ru) могут восприниматься Zoom в качестве корпоративных. То же касается и использования @yandex.kz и @yandex.by – казахстанского и белорусского доменных имен Яндекса. А вот при регистрации на @yandex.ua, альтернативных доменах Рамблера (@ro.ru, @autorambler.ru) и Mail.ru (@list.ru, @bk.ru) сервис работает правильно.
По данным издания, Яндекс уже обратился в Zoom с просьбой внести домены @yandex.kz и @yandex.by в список публичных. Запрос в Zoom, помимо Яндекса, направил и российский провайдер телекоммуникационных услуг «Эр-телеком-холдинг».
Напомним, ежедневное количество пользователей Zoom выросло за последние три месяца в 20 раз. В марте этого года каждый день сервисом (платно и бесплатно) пользовалось более 200 млн человек.
Отметим также, что в связи с проблемами безопасности, обнаруженными в сервисе, власти Нью-Йорка запретили школам использовать Zoom для дистанционного обучения. Вместо него рекомендуется использовать Microsoft Teams, который, согласно заявлению Департамента образования города, имеет те же возможности и должную защиту.