Только вчера мы рассказывали о том, что популярное из-за повсеместной самоизоляции и карантина приложение для видеоконференций Zoom подвергается критике со стороны СМИ и ИБ-специалистов. Теперь же журналисты издания Vice Motherboard обнаружили в Zoom новую проблему: оказалось, что пользователи с email-адресами, расположенными в одном домене, автоматически добавляются в списки контактов друг друга, из-за чего людям звонят незнакомцы.
Проблема кроется в настройке Company Directory, которая была создана для упрощения поиска коллег в том случае, если email-домен принадлежит конкретной компании. Однако многие пользователи использовали для регистрации личные почтовые адреса и в итоге обнаружили у себя в контактах тысячи человек, так как приложение посчитало, что все они работают в одной компании и раскрыло их личные данные друг другу.
«Я был шокирован! Я вошел (к счастью, использовав псевдоним) и увидел 995 неизвестных мне людей с их именами, фотографиями и почтовыми адресами», — рассказал изданию один из пострадавших пользователей, Баренд Герельс (Barend Gehrels). Он отмечает, что у его партнера возникла такая же проблема с другим email-провайдером: в ее контактах появилось более 300 незнакомцев.
«Если вы входите в Zoom с нестандартным email-провайдером (я имею в виду, не Gmail, не Hotmail, не Yahoo и так далее), то увидите ВСЕХ вошедших пользователей этого провайдера: их полные имена, почтовые адреса, изображение профиля (если есть) и текущий статус. И вы сможете сделать им видеозвонок».
Герельс рассказывает, что столкнулся с этой проблемой, используя голландских почтовых провайдеров xs4all.nl, dds.nl и quicknet.nl. Журналисты сообщают, что, судя по сообщениям в социальных сетях, с таким багом уже столкнулись многие пользователи из Нидерландов, а в минувшие выходные провайдер XS4ALL уже писал, что, к сожалению, не сможет помочь своим пользователям с этой проблемой.
Представители Zoom, с которыми связалось издание, сообщили, что компания регулярно обновляет списки доменов, связанных с функцией Company Directory, и перечисленные в материале Vice Motherboard провайдеры теперь внесены в черный список. То есть их пользователи более не будут видеть в своих контактах сотни незнакомых людей. Также разработчики отметили, что на сайте приложения есть специальный раздел, где можно подать заявку на исключение и других доменов из Company Directory.
