Devam eden coronavirus pandemisi, Slack ve Zoom gibi iş birliği ve video konferans uygulamalarına güvenen şirketlere sahiptir. Zoom yeni şöhretinin tadını çıkarırken, şirket aynı zamanda saldırıların hedefi oldu ve güvenlik açıkları ve güvenlik ihlalleri ile uğraşıyor.
Bugün daha önce , sohbet ettiğiniz herkesin Windows Login kimlik bilgilerinizi çalmasına izin veren bir güvenlik açığı bildirdik. Artık Vice, Zoom’daki başka bir kusuru tanımlayan bir rapor yayınladı. Vice’a göre Zoom, e-posta adreslerini, kullanıcı fotoğraflarını sızdırıyor ve bazı kullanıcıların yabancılarla video görüşmesi başlatmasına izin veriyor. Bunun nedeni, uygulamanın aynı kuruluş için çalıştığını algıladığı kişileri işleme biçimidir.
Görünüşe göre şirket, ” Şirket Dizini ” adlı bir özelliğe sahip ve kullanıcıların aynı etki alanına sahip başkalarını eklemesine olanak sağlıyor, böylece bulunması kolay insanları arayabiliyor. Bu özelliğin, herkesin aynı alan adını paylaştığı bir kuruluş içindeki kullanıcılar olması amaçlanmıştır. Bununla birlikte, yazılım bazı özel alan adlarını bir şirketin parçasıymış gibi ele alıyor ve bu nedenle, havuza binlerce rastgele insan ekliyor, sanki hepsi aynı şirket için çalışıyormuş gibi, kişisel bilgilerini birbirlerine ifşa ediyor.
Sorunla ilgili olarak Vice’a bahşiş eden kullanıcı, tam adlarını, posta adreslerini, profil resimlerini (varsa), durumlarını görebildiğini ve video görüntüleyebileceğini söyledi. Ayrıca hatanın kötüye kullanılması için bir kullanıcının xs4all.nl, dds.nl ve quicknet.nl gibi standart olmayan bir e-posta ile kaydolması gerektiğini de kaydetti. Bunların tümü e-posta hizmetleri sunan Hollandalı internet servis sağlayıcılarıdır (ISS).
Sorun, aynı etki alanını paylaşan bir e-posta adresiyle kaydoldukları takdirde, diğer kişileri kullanıcının kişi listelerine otomatik olarak ekleyen “Şirket Dizini” ayarında yatmaktadır. Bu, alan adı tek bir şirkete ait olduğunda aramak için belirli bir meslektaş bulmanızı kolaylaştırabilir. Ancak birden fazla Zoom kullanıcısı kişisel e-posta adresleriyle kaydolduklarını söyler ve Zoom onları aynı şirket için çalışıyormuş gibi binlerce kişi ile bir araya toplayarak kişisel bilgilerini birbirlerine açıklar.Zoom Başkan Yardımcısı
Vice ayrıca Twitter’da aynı sorundan şikayet eden başkalarının örneklerini de buldu. Tüm kullanıcılar Hollanda standart dışı e-postalarını kullanarak oturum açtı ve uygulama şirketin bir parçası olduklarını varsaydı.
Hollandalı ISS XS4ALL bir şikayet tweeti paylaştı, “Bu, devre dışı olamaz şeydir. Zoom’un size bu konuda yardımcı olup olamayacağını görebilirsiniz. ” Başka bir Hollandalı ISS DDS, Vice’a sorunun farkında olduğunu ancak doğrudan müşterilerden bir şey duymadığını söyledi. Diğer yandan Zoom, Vice’a şu ifadeyi verdi:
Yakınlaştırma, alanların kara listesini tutar ve eklenecek alanları düzenli olarak proaktif olarak tanımlar. Notunuzda vurguladığınız belirli alanlarla ilgili olarak, bunlar artık kara listeye alındı.
Ayrıca şirket , web sitesinin kullanıcıların diğer alan adlarının Şirket Dizini özelliğinden kaldırılmasını isteyebileceği bir bölümünü de işaret etti . Ne yazık ki, şirketin pantolonunu ilk kez yakalamaması bu değil. 2019’da bir araştırmacı, bilgisayar korsanlarının kullanıcının bilgisi olmadan web kameralarının kontrolünü ele geçirmesine izin veren bir hatayı ortaya çıkardı.
Daha önce EFF , toplantı sahiplerinin katılımcıları nasıl izleyebileceğini ve Yakınlaştırma penceresinin odakta olup olmadığını ve kullanıcıların video görüşmesini kaydedip kaydetmediğini bildiklerini, ardından Zoom yöneticileri “video, ses de dahil olmak üzere kaydedilen aramanın içeriğine erişebilir , konuşma metni ve sohbet dosyalarının yanı sıra paylaşım, analiz ve bulut yönetimi ayrıcalıklarına erişim ”. Geçen hafta, Zoom, Facebook ile veri paylaşırken yakalandı ve dün , Zoom’un grup çağrılarında uçtan uca şifreleme hakkındaki sahte iddialarını ele aldık .
Önümüzdeki 90 gün içinde Zoom, güvenlik ve gizlilik sorunlarını proaktif olarak daha iyi tanımlamak, ele almak ve düzeltmek için tüm kaynaklarını kullanacaktır. Dolayısıyla, Zoom önümüzdeki 3 ay içinde yeni özellikler eklemeyecek. Ayrıca, hizmetinin güvenliğini anlamak ve sağlamak için üçüncü taraf uzmanlar ve temsilci kullanıcılarla kapsamlı bir inceleme yapacaktır.
