Приложение для проведения конференций Zoom оказалось далеко не самым безопасным. Во-первых, в нём не оказалось поддержки сквозного шифрования. А во-вторых, сервис допустил утечку информации некоторых пользователей. Рассмотри каждый эпизод более подробно.
На своём сайте Zoom указывает на поддержку сквозного шифрования для конференций. Однако по данным издания The Intercept, это заявление не совсем соответствует действительности. На вопрос о том, обеспечиваются ли видео-конференции на платформе сквозным шифрованием, представитель Zoom ответил, что «В настоящее время невозможно включить шифрование E2E для видео-конференций в Zoom».
Zoom использует шифрование TLS – тот же стандарт, который применяется веб-браузерами для защиты соединения с сайтами через протокол HTTPS. На практике это означает, что данные зашифрованы между пользователем и серверами Zoom, подобно содержимому Gmail или Facebook. Но термин сквозное шифрование обычно относится к защите передачи контента между пользователями полностью без доступа компании, как в Signal или WhatsApp. Zoom не предлагает такой уровень шифрования, что делает использование термина «сквозной» вводящим в заблуждение.
Но Zoom отрицает обвинения в введении пользователей в заблуждение. Компания заявляет, что фраза «сквозное» подразумевает, что соединение было зашифровано от одной конечной точки Zoom до другой конечной точки Zoom, и что «контент не расшифровывается по мере прохождения через облачную инфраструктуру Zoom». Компания также заявила, что собирает только те данные пользователей, которые необходимы для повышения качества сервиса, в том числе IP-адреса, сведения об ОС и устройстве. При этом компания не позволяет сотрудникам получать доступ к конкретному содержанию конференций.
Вместе с тем, сервис допускает утечку некоторых адресов электронной почты и фотографий пользователей, а также позволяет некоторым пользователям инициировать видеозвонки с незнакомыми людьми. Это происходит из-за ошибки с обработкой контактов, которые, считает сервис, относятся к одной и той же организации.
Как правило, Zoom группирует контакты с одним и тем же почтовым доменом в Company Directory, чтобы пользователи могли найти конкретного человека, посмотреть его фотографию и электронную почту и начать видеозвонок с этим человеком. Это имеет смысл для компании, сотрудники которой общаются через Zoom. Но приложение также группирует и людей, которые используют для работы личную электронную почту. Это означает, что затронутый пользователь может видеть личные адреса электронной почты и фотографии людей с тем же доменом электронной почты в своём каталоге Company Directory, даже если никто из этих людей на самом деле не является его коллегами.
Неясно, насколько широко распространена эта проблема или сколько доменов электронной почты может быть затронуто. Столкнувшийся с этой проблемой пользователь поделился скриншотом, который показывает 995 учётных записей в его каталоге Company Directory.
Этот пользователь также отметил, что он столкнулся с проблемой при работе с доменами xs4all.nl, dds.nl и quicknet.nl, которые являются доменами электронной почты от голландских интернет-провайдеров. После выявления этой проблемы администрация Zoom сообщила, что добавила эти домены в чёрный список. Это должно предотвратить повторное возникновение проблемы с этими конкретными доменами. Компания также отмечает, что на странице поддержки пользователи могут запросить внесение доменов в чёрный список. Дополнительно сообщается, что сервис не группирует «общедоступные домены, включая gmail.com, yahoo.com, hotmail.com и т. д.». Но, как выяснилось, сервису известны далеко не все общедоступные домены.