Массовый переход на удаленную работу из-за коронавирусной пандемии значительно сократил время поездки на работу, и одновременно повлек за собой несколько негативных явлений. О возросшей опасности взлома корпоративных компьютеров мы уже писали. Еще одно новое явление, для которого уже есть термин — это «зумбомбинг». Он обозначает практику внедрения в видеоконференции незваных пользователей.
Приложение Zoom, чья аудитория выросла с 10 миллионов до 200 миллионов ежедневных пользователей менее чем за три месяца, часто стало подвергаться «зумбомбингу», когда посторонние люди получают доступы к частным видеоконференциям.
Массовость этого явления объясняется тем, что за несколько месяцев Zoom превратился из мало кому известной программы, ориентированной на бизнес, в глобальную видеоконференцию. «Белые хакеры» обнаружили проблемы, не соотносящиеся с возросшей популярностью программы. Это ошибки в коде, обмен данными пользователей с Facebook, отсутствие сквозного шифрования и маршрутизация части трафика через Китай.
Исследователи цифровой безопасности проводят различие между приложениями, предназначенными для связи между обычными пользователями, и приложениями, предназначенными для обеспечения конфиденциальности связи в пределах крупной корпорации или банка.
По их словам, большую часть инцидентов с «зумбомбингом» можно было избежать, если бы создатели конференций предпринимали простейшие меры защиты вроде паролей и отсутствия публичного доступа к ссылкам-приглашениям.
После череды новостей о проблемах с Zoom компания обновила программное обеспечение и предоставила возможность организаторам видеоконференций блокировать их, а также ограничивать возможно участников и удалять их. В Zoom советуют хостам отдельно аппрувить каждого участника перед добавлением его к чату. Кроме того, Zoom удалил доступ Facebook к данным пользователей.
Сообщается, что Zoom уже привлек ведущих специалистов для обеспечения безопасности пользователей и предпринял шаги для возможности исключения передачи данных через Китай самими пользователями. При этом компании пришлось признать, что она вводила клиентов в заблуждение, утверждая, что их разговоры зашифрованы от начала и до конца.
«Для обычного пользователя, который использует Zoon для разговоров с родственниками, опасности нет, но я рекомендовал бы пользоваться платформами, созданными более зрелыми компаниями», говорит Патрик Уордл, исследователь безопасности из софтверной компании Jamf, обнаруживший два нераскрытых бага в Zoom.
В Zoom отвечают, что все баги в программе исправлены, и крупные компании и органы власти во всем мире уже провели исчерпывающие проверки безопасности и многие из них продолжают пользоваться Zoom. Ранее программу частично запретили использовать в Google и SpaceX.
По итогам трех апрельских недель пользовательская база Zoom выросла еще на 50%, до 300 миллионов, благодаря тому, что компания пыталась подавить негативную реакцию пользователей и СМИ на прорехи в безопасности приложения. В среду, 23 апреля, исполнительный директор Zoom Эрик Юань представил 90-дневную программу безопасности платформы, а также анонсировал новую версию приложения с дополнительными параметрами шифрования.
На фоне новостей акции Zoom на Нью-Йоркской бирже подорожали на 5%, до 150,25 долларов, и приближаются к покорению пика в 160 долларов. Его Zoom достиг в марте еще до вспышки запретов и ограничений.
Последними компаниями, запретившими Zoom для корпоративного пользования, стали немецкий автопроизводитель Daimler и шведская компания Ericsson.