Zoom раскрывает личные адреса и телефоны пользователей «Яндекса»

У сервиса видеоконференций Zoom обнаружилась еще одна проблема, связанная с персональными данными. Как пишет издание Vice, сервис может автоматически добавлять своих пользователей в контакты друг к другу и тем самым раскрывать их личные данные – адреса электронной почты, имена, фамилии и фотографии. На утечку первыми обратили внимание жители Нидерландов, которые пользуются почтой от местных провайдеров.

Корреспондент «Ведомостей» убедился, что алгоритмы сервиса настроены не идеально – после регистрации в Zoom с помощью почты на @yandex.kz (домен для Казахстана) и входа в систему ему стали доступны данные 999 других пользователей с почтой на @yandex.kz, в том числе их номера телефонов. Столько же контактов стали доступны при регистрации с почтой на @yandex.by (для Белоруссии). Также удалось узнать данные нескольких десятков людей, зарегистрировавшихся в Zoom с адресами на @citydom.ru (провайдер «Эр-телеком холдинг», бренд «Дом.ру») и @starlink.ru (провайдер Starlink). При регистрации на @yandex.ua, альтернативных доменах «Рамблера» (@ro.ru, @autorambler.ru) и Mail.ru (@list.ru, @bk.ru) сервис работал корректно.

В Zoom нет общедоступного каталога пользователей: чтобы просмотреть сведения о пользователе или позвонить ему, человек должен сначала добавить его в контакты по адресу почты или номеру телефона. Однако Zoom автоматически объединяет пользователей корпоративной почты в «каталог компании». Причина утечки заключается в том, что Zoom воспринимает любой нестандартный адрес электронной почты как корпоративный, цитирует Vice слова пользователя, заметившего утечку. После регистрации с доменом @xs4all.nl он увидел данные 995 других пользователей с этим же доменом.

Zoom ведет черный список «публично доступных доменов», для которых функция каталога не включается, передает Vice слова представителя Zoom. Среди них – адреса от Gmail, Yahoo! и Hotmail (Outlook), указано на сайте сервиса. Каталоги также не работают для основных доменов «Яндекса», Mail.ru и «Рамблера». Однако каждый из этих сервисов позволяет выбрать альтернативный бесплатный домен – например, @list.ru вместо @mail.ru или @ya.ru вместо @yandex.ru. Некоторые из этих вариантов Zoom, видимо, распознает как «компанию».

Владельцы доменов могут обратиться в Zoom, чтобы тот добавил их в специальный список, передает Vice слова представителя Zoom. По его словам, компания уже заблокировала функцию каталогов для доменов, с которыми возникли проблемы. Позднее генеральный директор Zoom Эрик Юань заявил, что сервис приостанавливает развертывание новых функций и отключает некоторые из существующих – в частности, возможность следить за тем, что участники конференции делают на своих устройствах. Он не упомянул функцию каталогов компаний, российские адреса продолжали появляться в каталогах после заявления гендиректора Zoom.

Zoom не получает данных, которые хранятся в учетной записи «Яндекса» («Яндекс.Паспорте»), а оперирует той информацией, которую пользователь самостоятельно вводит при регистрации в Zoom, уточнили «Ведомостям» в «Яндексе». Компания уже обратилась в Zoom с просьбой добавить адреса на доменах @yandex.by и @yandex.kz в список исключений. «Эр-телеком холдинг» также направил запрос в Zoom об устранении некорректности в работе сервиса, сказали «Ведомостям» в пресс-службе компании. «Ведомости» направили запрос в Zoom по поводу российских сервисов, а также запрос в Starlink.

Сервис Zoom столкнулся с наплывом пользователей после пандемии коронавируса и объявленных во многих странах ограничениях на передвижение населения. Zoom был запущен в 2013 г. с расчетом на b2b-сегмент рынка видеоконференций. Помимо групповых видеозвонков он позволяет организовывать видеосеминары и открывать горячие линии по телефону. По словам Юаня, в марте число участников конференций выросло до 200 млн человек за день, в декабре 2019 г. в Zoom общалось в среднем 10 млн человек в день.

Раскрытие личных данных пользователей – это не первая проблема с приватностью в Zoom. Стандартные настройки Zoom позволяют злоумышленникам подключаться к конференциям без ведома организаторов и выводить на экраны порнографию и оскорбительные материалы, пишет The New York Times. Клиент Zoom для iOS передавал данные пользователей компании Facebook, а клиент для Windows позволял хакерам получить учетные данные от компьютера; в апреле компания заявила, что устранила эти проблемы. После этого The Washington Post сообщила о бреши в функции записи разговоров в Zoom, из-за которой более 15 000 личных видеозвонков оказались в открытом доступе.