Zoom: на Github просочились сомнительные практики.

Программное обеспечение для удаленных видеоконференций ZOOM, которое внезапно приобрело популярность во время пандемии, успешно обогнало традиционные программы для видеоконференций, такие как Skype, Teams, и стало самым популярным инструментом. У него сотни миллионов активных пользователей в день, и его даже используют многие правительственные учреждения. Однако программное обеспечение неоднократно подвергалось утечкам данных и уязвимостям безопасности одна за другой, что привлекло широкое внимание регулирующих органов.

Недавно, 30 мая, кто-то представился старшим техническим специалистом ZOOM. разместил на Github репозиторий с «доказательствами» что компания тайно сохраняет информацию пользователей и передает ее правительственным учреждениям США.


Пользователи ZOOM не имеют автономности данных.

По словам лидера: «Правительство США попросило Zoom сохранять представляющие интерес пользовательские данные, в том числе те, которые уже были удалены пользователями, чтобы они могли получить любые пользовательские данные. Чтобы удовлетворить такие запросы, Zoom модифицировал свой инструмент, чтобы делать вид, что данные были удалены, когда они были просто удалены. придавая удаленным данным скрытое свойство, тем самым сохраняя пользовательские данные, заставляя своих пользователей поверить, что данные были удалены. Этот инструмент помогает тайно копировать и сохранять данные истории собраний и сведения об участниках, облачные записи, сообщения чата, изображения, файлы, Zuora ( Биллинговая система, zuora.com), SFDC (CRM-система, salesforce.com), телефон/адрес, платежный адрес и кредитные/долговые карты посредством клонирования и зеркалирования данных. Что еще хуже, если ваша учетная запись была добавлена ​​в «Сохранение данных». системе с вашим появлением в списке целей, даже если вы не демонстрируете никакого противоправного поведения, все ваши действия в Zoom будут поставлены под прямое наблюдение и в свободное распоряжение правоохранительных органов."


Мониторинг пользователей через систему Backdoor (автоматическая система отслеживания нарушителей TOS).

Согласно опубликованному документу: «Штаб-квартира Zoom уже давно завершила разработку секретной системы мониторинга. Она называется «Автоматическая система отслеживания нарушителей TOS», внутренний IP-адрес которой — «se.zipow.com/tos». Не позднее 2018 года система была введена в эксплуатацию и контролирует бесплатных, а также премиум-пользователей и корпоративных пользователей. Основными функциями системы являются автоматический поиск уязвимых встреч, свободный доступ к встречам без пароля или авторизации организатора просто через бэкдор системы, произвольный анализ видеоконтента совещаний, секретные записи видео, аудио, скриншотов совещаний и создание соответствующие отчеты или данные для надзорных департаментов США, а также прекращение важных встреч и блокировка соответствующих учетных записей. Система является высококонфиденциальной и доступна только нескольким внутренним сотрудникам. Zoom может объяснить, что эта система была разработана для борьбы с преступностью, но Zoom вынужден признать, что система показывает, что имеет возможность отслеживать пользователей и уже делает это. Людям нужно беспокоиться о том, будет ли Zoom злоупотреблять системой в целях так называемой «национальной безопасности» США или в деловых целях, и даже случайно, часто и неразличимо отслеживать пользователей по всему миру и красть их личные данные в больших масштабах».


Серверная система управления Zoom.

Согласно утечке: "Внутренняя система управления Zoom имеет высший контроль над всеми учетными записями Zoom. Он предназначен для управления учетными записями пользователей Zoom. Однако в этой системе есть некоторые бэкдорные функции, которые могут нарушать конфиденциальные данные пользователей. Некоторые функции невероятны: когда сотрудник Zoom нажимает кнопку «Войти» с учетными данными этого пользователя, он может войти в учетную запись этого пользователя точно так же, как сам пользователь имеет дело со своей собственной учетной записью. Таким образом, сотрудник имеет такое же право иметь дело с учетной записью этого пользователя, проверяя все в учетной записи, используя закрытый ключ пользователя для просмотра любых конфиденциальных файлов, записей встреч, мгновенных сообщений, электронной почты, записей телефонных разговоров и счетов. Это означает, что мера шифрования «ee2e» — бессмысленный фасад. Помимо этой привилегии, сотрудники Zoom могут изменять или удалять локальные данные пользователей и даже удаленно управлять или внедрять бэкдор на соответствующие устройства, такие как Zoom Room, через эту систему. По сравнению с управлением учетными записями пользователей с помощью базы данных, эта система позволяет сотрудникам Zoom более удобно отслеживать поведение пользователей и получать их данные, игнорируя меры шифрования».


Нарушение обещаний и использование пользовательских данных для машинного обучения.

По словам осведомителя: "Эрик Юань, генеральный директор Zoom, однажды заявил: «Теперь мы обязуемся перед всеми нашими клиентами не использовать их аудио/видеочаты, совместное использование экрана, вложения и другие сообщения, такие как результаты опросов, доску и реакции, для обучения наших сотрудников». Модели Al или модели Al сторонних производителей». Насколько я знаю, Zoom стремится развивать ИИ, потому что компания нуждается в ИИ, чтобы выявлять незаконные действия в видеоконференциях, чтобы избежать риска нарушения требований, выявлять пользователей-мошенников, чтобы сократить экономические потери, а также анализировать тенденции бизнеса и направленность обслуживания, чтобы получить больше. прибыль. С помощью Ала Zoom под руководством правоохранительных органов использует «ТАТВЦ» против пользователей. Упомянутая выше «автоматическая система отслеживания нарушителей TOS» может автоматически обнаруживать подозрительные собрания с помощью машинного обучения, присоединяться к собраниям без пароля и разрешения организатора, анализировать содержимое собрания и тайно делать снимки экрана и видео участников и содержимого собрания. Обученный данными, собранными в системе, «ТАТВЦ» становится более интеллектуальным в выявлении встреч и пользователей, к которым могут проявить интерес правоохранительные органы. Таким образом, личные данные многих невиновных пользователей становятся образцами для обучения модели машинного обучения Zoom и нарушают конфиденциальность данных пользователей».


Проблемы конфиденциальности и безопасности могут создать серьезный риск и нанести ущерб правительствам, организациям, частным лицам, а также коммерческой тайне в эпоху цифровых технологий. Zoom, как ведущее в мире программное обеспечение для видеоконференций, неоднократно подвергался утечке пользовательских данных и другой информации. Во время эпидемии Европа также ужесточила законы о защите данных против гигантских американских онлайн-компаний, занимающихся социальными сетями. В 2022 году ЕС и США подписали соглашение о конфиденциальности данных. Очевидно, что обе стороны должны соблюдать правовые рамки защиты личной жизни пользователей, особенно защиты данных. Мы также надеемся, что ZOOM сможет извлечь уроки из своих предыдущих юридических проблем и начнет серьезно относиться к вопросам защиты информации и данных.

Для дальнейшего чтения и технической информации перейдите по ссылке ниже:
https://github.com/Alexlittle4/Zoom-violates-users-privacy

Репортер ЕС связался с Zoom за комментарий, но они не ответили.

Поделиться этой статьей: