Сервис конференц-связи Zoom оказался скомпрометирован
В интернет утекли записи тысяч видеозвонков его пользователейНесколько тысяч личных видеозвонков, сделанных по Zoom, были опубликованы на YouTube и Vimeo, сообщает The Washington Post. В сети оказались записи сеансов психотерапии, школьные уроки, консультации с врачами и совещания компаний малого бизнеса, на которых обсуждалась финансовая отчетность.
Zoom не записывает переговоры по умолчанию. Но организаторы онлайн-конференций могут включить запись и сохранить ее непосредственно в Zoom или отдельно, на своих персональных компьютерах, без согласия других участников. При этом уведомление о том, что запись ведется, получают все участники разговора. Как записи звонков оказались в интернете, а сами видео были записаны с помощью программного обеспечения Zoom и сохранены в отдельном онлайн-хранилище без пароля, люди, переговоры которых были преданы огласке, не знают, сообщает The Washington Post. Zoom присваивает видеоконференциям открытые идентификаторы (PMI) и не шифрует подключение – путем онлайн-поиска можно найти большое количество записей: эксперты, опрошенные изданием, обнаружили таким образом более 15 000 записей.
Чем популярнее платформа, тем больше ее пользователи интересны злоумышленникам, поэтому нельзя исключать, что в ближайшем будущем они обратят свое внимание на платформу Zoom, отмечает антивирусный эксперт «Лаборатории Касперского» Борис Ларин. Это приложение в очень короткий срок приобрело большую популярность: им пользуются в больших и маленьких компаниях для организации видеоконференций, на онлайн-курсах и т. д., рассуждает эксперт. По данным Zoom, число его пользователей в связи с пандемией коронавируса выросло с 10 млн человек в декабре 2019 г. до 200 млн в марте 2020 г.
Российский бизнес также стал активно пользоваться приложением Zoom. Например, представители нескольких российских операторов связи сообщили, что пользуются приложением для переговоров с внешними партнерами. Для внутрикорпоративного общения используются платформы и сервисы, разработанные самими компаниями, или Skype, добавляют они.
В обычной ситуации инцидент не привлек бы пристального внимания. Но поскольку в последнее время Zoom стал невероятно популярным приложением, то любая ошибка его разработчиков становится событием, отмечает технический директор Qrator Labs Артем Гавриченков. На проблему с безопасностью сервиса, в частности, среагировал Илон Маск, запретивший всем сотрудникам SpaceX использовать его для видеоконференций.
Обнаруженные экспертами проблемы могут свидетельствовать о том, что до этих пор безопасности приложения не уделялось достаточно внимания, считает Ларин. У Zoom нет bug bounty – программы поощрения для разработчиков и пользователей, которые самостоятельно находят ошибки и уязвимости в ПО. Она могла бы стимулировать интерес к поиску уязвимостей и ответственному раскрытию информации о них, считает Ларин.
Серьезная проблема для безопасности кроется в том, как происходит подключение к конференциям, продолжает Ларин. Если конференция не защищена паролем, то к ней могут подключиться сторонние люди, так как для этого нужно знать только ее идентификатор, который легко подобрать – такая ситуация уже получила название Zoom-bombing, рассказывает он.
По словам Ларина, найти видео с частными разговорами пользователей Zoom действительно несложно. В то же время исправить такую ошибку, произошедшую по недосмотру разработчиков, просто, утверждает он.
Ларин и Гавриченков советуют пользователям Zoom обязательно защищать конференции паролями и передавать их записи безопасным способом другим участникам конференции, то есть не выкладывать ссылки на публичные интернет-ресурсы. При этом если ведущий конференции решит сохранить видео на собственном компьютере или выложить в облако, то лучше всего поменять название видеофайла.