Спасаетесь в Zoom в дни карантина? Ваш телефон и электронную почту может получить любой

Сервис видеоконференций Zoom на фоне пандемии и тотальной самоизоляции набрал популярность. Проблема в том, что приложение может раскрывать персональные данные пользователей с нестандартной почтой, пишет «Коммерсантъ».

Издание ссылается на статью Vice, где сказано, что Zoom распознает любую нестандартную почту как корпоративную, из-за чего и возникает проблема.

В России в категорию «нестандартных» почтовых ящиков попадает «Яндекс». Если зарегистрировать почту на казахском или белорусском доменах yandex.kz или yandex.by, сразу станут доступны данные (включая номера телефонов) 999 пользователей с такой же почтой. Похожая ситуация происходит с доменами @citydom.ru (провайдер «Эр-телеком холдинг») и @starlink.ru (провайдер Starlink). Сервис автоматически считает людей с почтой на этих доменах сотрудниками одной компании (формируется так называемый каталог компании).

Эксперимент журналиста «Ведомостей» показал, что при регистрации на @yandex.ua, альтернативных доменах «Рамблера» (@ro.ru, @autorambler.ru) и Mail.ru (@list.ru, @bk.ru) сервис работает корректно.

Представитель Zoom на запрос Vice пояснил, что у приложения есть черный список «публично доступных доменов», для которых функция каталога не включается. В их числе адреса от Gmail, Yahoo! и Hotmail (Outlook), основных доменов «Яндекса», Mail.ru и «Рамблера». Но каждый из этих сервисов позволяет выбрать альтернативный бесплатный домен – например, @list.ru вместо @mail.ru или @ya.ru вместо @yandex.ru. Некоторые из этих вариантов Zoom, видимо, распознает как «компанию».

Для того, чтобы устранить утечку, владельцы доменов могут обратиться в Zoom. В компании сообщили, что уже заблокировали функцию каталогов для доменов, с которыми возникли проблемы.

Позднее генеральный директор Zoom Эрик Юань заявил, что сервис приостанавливает развертывание новых функций и отключает некоторые из существующих, в том числе возможность следить за тем, что участники конференции делают на своих устройствах.

В «Яндексе» рассказали, что компания уже обратилась в Zoom с просьбой добавить адреса на доменах @yandex.by и @yandex.kz в список исключений. «Эр-телеком холдинг» также направил запрос в Zoom об устранении некорректности в работе сервиса, рассказали «Ведомостям» в пресс-службе компании.

Сервис Zoom работает с 2013 года, кроме групповых звонков он позволяет проводить видеосеминары и открывать горячие линии по телефону. Задуманный как инструмент для b2b-сегмента, сервис стал очень популярен в начале 2020 года, когда во многих странах ввели карантин и люди перешли на удаленную работу.

Нынешняя проблема с раскрытием данных — не первая в истории программы. Ранее оказалось, что стандартные настройки Zoom позволяют злоумышленникам подключаться к конференциям без ведома организаторов и выводить на экраны порнографию и оскорбительные материалы. В компании заявили, что устранили эту проблему, но вскоре The Washington Post написала о бреши в функции записи разговоров в Zoom, из-за которой более 15 000 личных видеозвонков оказались в открытом доступе.