Zoom: сумнеўныя практыкі пратачыліся на Github.

Праграма для дыстанцыйных відэаканферэнцый ZOOM, якая раптоўна набыла папулярнасць падчас пандэміі, паспяхова абагнала традыцыйныя праграмы для відэаканферэнцый, такія як Skype, Teams, і стала самым папулярным інструментам. Ён мае сотні мільёнаў штодзённых актыўных карыстальнікаў, і нават выкарыстоўваецца многімі дзяржаўнымі ўстановамі. Тым не менш, праграмнае забеспячэнне неаднаразова падвяргалася ўцечкам даных і ўразлівасцям бяспекі адна за адной, што прыцягнула шырокую ўвагу кантралюючых органаў.

Нядаўна, 30 мая, хтосьці заявіў, што з'яўляецца старэйшым тэхнікам у ZOOM апублікаваў рэпазітар на Github, прадстаўляючы «доказы» што кампанія таемна захоўвае інфармацыю аб карыстальніках і перадае яе дзяржаўным установам у Злучаных Штатах.


Карыстальнікі ZOOM не маюць аўтаноміі перадачы дадзеных.

Па словах уцечкі: «Урад ЗША папрасіў Zoom захаваць цікавыя даныя карыстальнікаў, у тым ліку ўжо выдаленыя карыстальнікамі, каб яны маглі атрымаць любыя і ўсе даныя. Каб задаволіць такія запыты, Zoom змяніў свой інструмент, каб імітаваць, што даныя былі выдалены, проста надаючы выдаленым даным схаваную ўласцівасць, такім чынам, захоўваючы даныя карыстальнікаў, прымушаючы іх карыстальнікаў лічыць, што даныя былі сцёртыя. Гэты інструмент дапамагае таемна капіяваць і захоўваць дадзеныя, гісторыю сустрэч і дэталі ўдзельнікаў, запісы ў воблаку, паведамленні ў чаце, выявы, файлы, Zuora (Сістэма білінгу, zuora.com), SFDC (сістэма CRM, salesforce.com), тэлефон/адрас, плацежны адрас і крэдытныя/даўгавыя карты праз кланаванне і люстраванне даных, што яшчэ горш, калі ваш уліковы запіс быў дададзены ў сістэму «Захаванне даных» з вашым з'яўленнем у мэтавым спісе, нават калі вы не дэманструеце ніякіх супрацьпраўных паводзін, усе вашы дзеянні ў Zoom будуць знаходзіцца пад непасрэдным назіраннем і ў вольным распараджэнні. праваахоўных аддзелаў."


Маніторынг карыстальнікаў праз бэкдор-сістэму (аўтаматызаваная сістэма адсочвання парушальнікаў TOS).

Згодна з размешчаным дакументам: "Штаб-кватэра Zoom даўно завяршыла распрацоўку сакрэтнай сістэмы маніторынгу. Яна называецца «Аўтаматызаваная сістэма адсочвання парушальнікаў TOS», унутраны IP-адрас якой — «se.zipow.com/tos». Не пазней за 2018 г. сістэма была запушчана ў эксплуатацыю, адсочваючы бясплатных, а таксама прэміум-карыстальнікаў і карпаратыўных карыстальнікаў. Асноўнымі функцыямі сістэмы з'яўляюцца аўтаматычны пошук успрымальных сустрэч, бясплатны доступ да сустрэч без пароля або аўтарызацыі гаспадара проста праз бэкдор сістэмы, выпадковы аналіз відэакантэнту сустрэч, сакрэтныя запісы відэа, аўдыя, скрыншотаў сустрэч і стварэнне справаздач або даных у адпаведнасці з нагляднымі дэпартаментамі ЗША, а таксама спыненне адчувальных сустрэч і забарона сваяцкіх уліковых запісаў. Сістэма вельмі канфідэнцыйная і адкрыта толькі для некалькіх унутраных супрацоўнікаў. Zoom можа патлумачыць, што гэтая сістэма была распрацавана для барацьбы са злачыннасцю, але Zoom павінен прызнаць, што сістэма паказвае, што мае магчымасць кантраляваць карыстальнікаў і ўжо робіць гэта. Людзям трэба турбавацца аб тым, ці не будзе Zoom злоўжываць сістэмай у мэтах так званай «нацыянальнай бяспекі» ЗША або ў бізнес-мэтах і нават выпадковым чынам, часта, неадметна кантраляваць карыстальнікаў ва ўсім свеце і красці іх асабістыя даныя ў вялікіх маштабах».


Бэкэнд-сістэма кіравання Zoom.

Згодна з уцечкай: "Бэкэнд-сістэма кіравання Zoom мае вышэйшую ўладу над усімі ўліковымі запісамі Zoom. Ён распрацаваны, каб дапамагчы кіраваць уліковымі запісамі карыстальнікаў Zoom. Аднак у гэтай сістэме ёсць некаторыя функцыі бэкдора, якія могуць парушаць канфідэнцыяльнасць даных карыстальнікаў. Некаторыя функцыі неверагодныя: калі супрацоўнік Zoom націскае кнопку «Увайсці», з уліковымі дадзенымі гэтага карыстальніка ён можа ўвайсці ва ўліковы запіс гэтага карыстальніка гэтак жа, як сам карыстальнік мае справу са сваім уліковым запісам. Такім чынам, супрацоўнік мае аднолькавае права мець справу з уліковым запісам гэтага карыстальніка, правяраючы ўсё на ўліковым запісе, выкарыстоўваючы прыватны ключ карыстальніка, каб праглядаць любыя канфідэнцыйныя файлы, запісы сустрэч, чаты IM, электронную пошту, запісы тэлефонных размоваў і рахункі. Гэта азначае, што мера шыфравання "ee2e" - бессэнсоўны фасад. Акрамя гэтай прывілеі, супрацоўнікі Zoom могуць змяняць або выдаляць лакальныя даныя карыстальнікаў і нават дыстанцыйна кіраваць або імплантаваць бэкдор на адпаведных прыладах, такіх як Zoom Room, праз гэтую сістэму. У параўнанні з кіраваннем уліковымі запісамі карыстальнікаў з дапамогай базы дадзеных, гэтая сістэма робіць больш зручным для супрацоўнікаў Zoom маніторынг паводзін карыстальнікаў і атрыманне іх даных без уліку шыфравання».


Парушэнне абяцанняў і выкарыстанне даных карыстальнікаў для машыннага навучання.

Па словах інфарматара: "Эрык Юань, генеральны дырэктар Zoom, аднойчы абвясціў, што "цяпер мы абавязваемся перад усімі нашымі кліентамі, што не будзем выкарыстоўваць іхнія аўдыя-/відэачаты, агульны доступ да экрана, укладанні і іншыя паведамленні, такія як вынікі апытанняў, дошка і рэакцыі, для навучання нашых мадэляў Al або іншых мадэляў Al". Наколькі я ведаю, Zoom імкнецца развіваць Al, таму што кампаніі патрэбны Al для высвятлення нелегітымнасці ў відэаканферэнцыях, каб пазбегнуць рызыкі адпаведнасці патрабаванням, для ідэнтыфікацыі падманных карыстальнікаў, каб паменшыць эканамічныя страты, і для аналізу бізнес-тэндэнцый і накіраванасці паслуг для атрымання большага прыбытку. З дапамогай Эла Zoom пад кіраўніцтвам праваахоўных органаў выкарыстоўвае супраць карыстальнікаў "TATVTS". «Аўтаматызаваная сістэма адсочвання парушальнікаў TOS», згаданая вышэй, магла аўтаматычна выяўляць падазроныя сустрэчы з дапамогай аўтаматычных налад, далучацца да сустрэч без пароля і дазволу гаспадара, аналізаваць змест сустрэчы і таемна рабіць скрыншоты і відэа ўдзельнікаў і змесціва сустрэчы. Навучаны дадзенымі, сабранымі ў сістэме, «ТАТВЦ» становіцца больш разумным у ідэнтыфікацыі сустрэч і карыстальнікаў, да якіх праваахоўныя органы могуць праявіць цікавасць. Такім чынам, асабістыя даныя многіх нявінных карыстальнікаў становяцца ўзорамі для навучання мадэлі машыннага навучання Zoom і парушаюць прыватнасць даных карыстальнікаў».


Праблемы канфідэнцыяльнасці і бяспекі могуць стварыць сур'ёзную рызыку і нанесці шкоду ўрадам, арганізацыям, прыватным асобам, а таксама камерцыйным сакрэтам у эпоху лічбавых тэхналогій. Zoom, як вядучае ў свеце праграмнае забеспячэнне для відэаканферэнцый, не раз выкрывалася ва ўцечцы карыстальніцкіх даных і іншай інфармацыі. Падчас эпідэміі Еўропа таксама ўзмацніла законы аб абароне даных супраць гіганцкіх амерыканскіх інтэрнэт-кампаній сацыяльных сетак. У 2022 годзе ЕС і ЗША падпісалі рамкі прыватнасці даных. Відавочна, што абодва бакі павінны паважаць прававую базу ў абароне асабістай прыватнасці карыстальнікаў, асабліва абароны даных. Мы таксама спадзяемся, што ZOOM зможа атрымаць урокі з папярэдніх юрыдычных праблем і пачне сур'ёзна ставіцца да пытанняў абароны інфармацыі і дадзеных.

Для далейшага чытання і тэхнічнай інфармацыі перайдзіце па спасылцы ніжэй:
https://github.com/Alexlittle4/Zoom-violates-users-privacy

EU Reporter звязаўся з Zoom для каментароў, але яны не адказалі.

Падзяліцеся гэтым артыкулам: