Представники компанії Cyble купили в інтернеті 530 000 облікових записів користувачів Zoom дешевше, ніж по одному центу за кожну.
ЧИТАТИ ТАКОЖ: SpaceX веде переговори про будівництво нової фабрики ракет
Фахівці з кібербезпеки компанії Cyble знайшли на хакерських форумах в так званому «тіньовому інтернеті» (Dark Web) облікові дані більше 500 000 акаунтів Zoom, які можна було придбати майже за копійки.
У деяких випадках вкрадені логіни і паролі роздавали взагалі безкоштовно.
Cyble змогла придбати приблизно 530 000 облікових записів по $ 0,0020 за кожну. Це менше одного цента.
Фахівці отримали адресу електронної пошти, пароль, URL-адресу особистої зустрічі і ключ організатора (6-значний пін-код, який можуть використовувати організатори конференцій в Zoom).
Багато з цих даних належали співробітникам різних компаній, установ, банків і численних університетів.
Облікові дані, які потрапили в Dark Web, були отримані за допомогою комбінації пароль-електронна пошта, які хакери добули при попередніх зламах акаунтів.
З початком поширення коронавірусу і введенням національного карантину в багатьох країнах світу, популярність Zoom стала рости в геометричній прогресії. Раптово сервіс вийшов в топ найпопулярніших додатків для відео-дзвінків.
Однак, із зростанням популярності, почали спливати і недоліки цього, здавалося б, простого і функціонального, на перший погляд, сервісу.
Чи варто їм користуватися і наскільки це безпечно? І якщо відмовитися від Zoom, то яка є альтернатива?
Проблеми з безпекою
Головним наслідком відсутності належного захисту даних у сервісу, стало зародження такого явища, як “ZoomBombing“.
Це форма хуліганського троллінгу, коли до відеоконференції приєднується стороння людина і починає транслювати непристойні відео або викрикувати образливі вирази.
Ця проблема пов’язана з політикою Zoom і необережністю людей, які користуються загальнодоступними посиланнями на зустрічі Zoom.
Якщо неправильно послуговуватися ними, це може привести до того, що конференція Zoom буде відкрита для загального доступу. А потім кожен, хто знайде посилання, зможе приєднатися до поточної зустрічі.
Цю опцію можна відключити в налаштуваннях або в адміністративних елементах управління і тоді приєднатися до виклику буде складніше.
Однак, це ускладнить доступ і «справжнім» учасникам, тому цією можливістю мало хто користується.
Крім того, виявилося, що Zoom (Точніше, його додаток для iOS) ділиться даними своїх користувачів з соціальною мережею Facebook, навіть якщо у тих немає облікового запису в FB.
«Це шокує. У політиці конфіденційності нічого такого не йдеться », — говорить Пет Уолш, активіст Privacy Matters, який проаналізував політику конфіденційності Zoom.
Тобто, Zoom ніде не повідомляв своїм користувачам, що він передає інформацію про своїх користувачів стороннім компаніям.
Після завантаження та відкриття додатка, Zoom підключається до Graph API Facebook. Graph API — це основний спосіб, за допомогою якого розробники Facebook отримують дані.
Zoom повідомляє соціальну мережу про те, коли користувач відкриває додаток, передає відомості про пристрій (модель, часовий пояс і місто, в якому він знаходиться, до якого оператора стільникового зв’язку він підключений) і унікальний ідентифікатор рекламодавця, створений пристроєм користувача, який компанії можуть використовувати для таргетування реклами.
Facebook часто співпрацює з іншими додатками і отримує подібну інформацію. Однак, тільки за умови, що ті інформують про це людей у своїх угодах про користування.
Після того, як вся інформація отримала суспільний розголос, Zoom обмежив співпрацю з Facebook.
Крім того, у Zoom є й інші проблеми. Видання Intelligencer зазначає, що при установці додатка відео-сервісу на комп’ютер, він приймає права адміністратора для отримання root-доступу до комп’ютера користувача (мова йде про операційну систему Mac OS X).
Такий доступ може бути використаний для таємного встановлення програм без відома користувача, включно з можливістю доступу до веб-камери і мікрофону.
Zoom також був викритий в маршрутизації трафіку через Китай, де уряд ретельно контролює інтернет.
Ще один камінь в город Zoom — сумнівне шифрування. Сервіс Zoom не використовує безпечний протокол наскрізного шифрування для відеодзвінків. Замість цього він застосовує, так зване, «транспортне» шифрування.
Крім того з інсталятором додатку на ПК йшло шкідливе ПО для майнінгу криптовалют. З версією 4.4.0.0 на ПК з Windows, встановлювався Trojan. Win32.MOOZ.THCCABO. Він нарощував навантаження на центральний процесор комп’ютера і його відеокарту для вирішення математичних задач з метою створення нових одиниць криптовалюти. На останній версії – 4.6.9 такої проблеми вже немає.
І це не весь список «Гріхів».
Дослідники виявили, що механізми захисту від несанкціонованого зламу Zoom можна легко відключити. Про це в своєму блозі пише, наприклад, британський студент-комп’ютерник. Це означає, що в Zoom можна легко впровадити шкідливе ПО і ця проблема все ще не вирішена.
При використанні Zoom є ймовірність витоку адрес електронної пошти і фотографій профілю. Так, сервіс автоматично поміщає всіх, хто використовує один і той же поштовий домен, в папку «Компанії», де вони можуть бачити інформацію один одного.
Виняток зроблено для людей, що використовують великі клієнти веб-пошти, такі як Gmail, Yahoo, Hotmail або Outlook.com, але не для невеликих постачальників веб-пошти, про яких Zoom може не знати.
Наприклад, кілька голландських користувачів Zoom, які використовують адреси електронної пошти, надані інтернет-провайдером, несподівано виявили, що вони знаходяться в одній «Компанії» з десятками незнайомців — і можуть бачити їх адреси електронної пошти, імена користувачів і їхні фотографії.
CEO Zoom Ерік Юань публічно визнає, що недооцінив масштаб можливої загрози безпеці. Юань не припускав, що Zoom може перейти від інструменту тільки для бізнесу до додатка, що широко використовується в некомерційних цілях.
Він також додав, що якби не криза, яка змусила людей масово користуватися Zoom, в компанії, ймовірно, ще не скоро б задумалися про перевірку безпеки і конфіденційності платформи.
Альтернатива
Наростаючі проблеми з безпекою платформи змушують багатьох споживачів задуматися про альтернативу Zoom.
«Споживачі, орієнтовані на конфіденційність, повинні ретельно продумати варіанти відеочату, з огляду на проблеми безпеки, пов’язані з Zoom», — говорить професор з комп’ютерних наук з Прінстонського університету Арвінда Нарайанана.
Ось кілька альтернатив, які, наприклад, пропонує британське видання The Guardian, опитавши багатьох експертів з мережевої безпеки.
Skype — сервіс, випущений в 2003 році. Є однією з найдавніших опцій для відеозв’язку. Був куплений Microsoft в 2011 році. Його плюс в тому, що він безкоштовний. У той же час, максимальна кількість людей, які можуть приєднатися до конференції по Skype, не може бути більше 50-ти. Це робить його не кращим варіантом для великих організацій.
Microsoft Teams — ще один продукт від Microsoft. Він дозволяє бути на зв’язку одночасно до 250 осіб. Крім того, завдяки функції «презентації» за конференцією може спостерігати до 10 000 глядачів. У користувачів є можливість обмінюватися файлами під час розмови. Сервіс безкоштовний. Мінус полягає в тому, що Microsoft Teams призначений більше для бізнесу. Ті, хто хоче оформити індивідуальний аккаунт — можуть зробити це через обліковий запис Skype, але для цього потрібно буде встановити сам Skype. У тому ж Zoom це робити не обов’язково. Там можна організовувати дзвінки відразу через веб-браузер.
FaceTime — вбудований сервіс відеодзвінків для продуктів Apple. «Яблучна» компанія відома своїми методами шифрування, це означає, що ймовірність зламу дзвінка дуже мала, також як і витоку даних. Хоча бувають і казуси, наприклад, злам того ж FaceTime. Крім того, додаток не вимагає завантаження — його встановлено на пристроях Apple. Однак, в групових конференціях може брати участь максимум 32 особи. І доступний сервіс тільки для власників гаджетів Apple.
Signal – це додаток для обміну зашифрованими повідомленнями, який вважається найбільш безпечним в світі і стає все більш популярним. Він дозволяє створювати великі групові чати, але не групові відеодзвінки. У сервісі можна здійснювати тільки поодинокі відеовиклики.
Starleaf – сервіс, який позиціонує себе, як більш безпечну альтернативу Zoom. Його перевага в тому, що компанія знаходиться в Великобританії і підпорядковується місцевим законам про конфіденційність даних. У той же час, Starleaf призначений для фірм і організацій. На одній зустрічі може бути до 20 осіб і розмова триватиме не більше 46 хвилин.
Jitsi Meet – відео – платформа, заснована французьким студентом. Вона безкоштовна, з відкритим кодом (тобто будь-який бажаючий може перевірити її безпеку) і вміє шифрувати зв’язок. Мінус в тому, що брати участь у розмові одночасно може не більше 75 осіб.
Houseparty – сервіс для проведення відеоконференцій, з безліччю ігор у додатку, включаючи вікторини та завдання з малювання. Однак, у цього сервісу також сумнівна політика конфіденційності.
Google Hangouts – відеосервіс від Google. У чаті може брати участь до 150 осіб, але тільки 25 осіб можуть бути одночасно на відеоконференції. Сервіс безкоштовний.
ЧИТАТИ ТАКОЖ: Виходець з України створив додаток для схуднення Noom. У 2019 його виручка склала $ 237 млн
BlueJeans – відеоплатформа, в якій зв’язок шифрується за замовчуванням. Також доступ до сервісу можливий через браузер і не вимагає облікового запису або завантаження програми. Однак, базова версія цього продукту коштує $ 9,99 і дозволяє проводити зустрічі до 50 осіб. А за $ 13,99 можна купити Pro версію, в якій вже на відео-зустріч можна запросити 75 осіб. [via nv]