Масовий перехід на віддалену роботу через коронавірусну пандемію значно скоротив час поїздки на роботу, і одночасно спричинив кілька негативних явищ. Про зростання небезпеки злому корпоративних комп’ютерів ми вже писали. Ще одне нове явище, для якого вже є термін — це «зумбомбінг». Він позначає практику потрапляння до відеоконференції непроханих користувачів.
Додаток Zoom, чия аудиторія виросла з 10 мільйонів до 200 мільйонів щоденних користувачів менш ніж за три місяці, часто став піддаватися «зумбомбінгу», коли сторонні люди отримують доступи до приватних відеоконференцій.
Масовість цього явища пояснюється тим, що за кілька місяців Zoom перетворився з мало кому відомої програми, орієнтованої на бізнес, на глобальну відеоконференцію. «Білі хакери» виявили проблеми, що не співвідносяться із зростанням популярності програми. Це помилки в коді, обмін даними користувачів з Facebook, відсутність наскрізного шифрування і маршрутизація частини трафіку через Китай.
Дослідники цифрової безпеки проводять відмінність між додатками, призначеними для зв’язку між звичайними користувачами, і додатками, призначеними для забезпечення конфіденційності зв’язку в межах великої корпорації або банку.
За їхніми словами, більшу частину інцидентів з «зумбомбінгом» можна було уникнути, якби творці конференцій вживали найпростіші заходи захисту на зразок паролів і відсутності публічного доступу до посилань-запрошень.
Після низки новин про проблеми з Zoom компанія оновила програмне забезпечення і надала можливість організаторам відеоконференцій блокувати їх, а також обмежувати можливо учасників і видаляти їх. У Zoom радять хостам окремо апрувити кожного учасника перед додаванням його до чату. Крім того, Zoom видалив доступ Facebook до даних користувачів.
Повідомляється, що Zoom вже привернув провідних фахівців для забезпечення безпеки користувачів і вжив заходів для можливості виключення передачі даних через Китай самими користувачами. При цьому компанії довелося визнати, що вона вводила клієнтів в оману, стверджуючи, що їхні розмови зашифровані від початку і до кінця.
«Для звичайного користувача, який послуговується Zoon для розмов з родичами, небезпеки немає, але я рекомендував би користуватися платформами, створеними більш зрілими компаніями», — говорить Патрік Уордл, дослідник безпеки з софтверної компанії Jamf, який знайшов два нерозкритих баги у Zoom.
У Zoom відповідають, що всі баги у програмі виправлені, і великі компанії і органи влади в усьому світі вже провели вичерпні перевірки безпеки і багато з них продовжують користуватися Zoom. Раніше програму частково заборонили використовувати в Google і SpaceX.
За підсумками трьох квітневих тижнів користувацька база Zoom зросла ще на 50%, до 300 мільйонів, завдяки тому, що компанія намагалася придушити негативну реакцію користувачів і ЗМІ на діри у безпеці додатка. У середу, 23 квітня, виконавчий директор Zoom Ерік Юань представив 90-денну програму безпеки платформи, а також анонсував нову версію з додатковими параметрами шифрування.
На тлі новин акції Zoom на Нью-Йоркській біржі подорожчали на 5%, до 150,25 доларів, і наближаються до підкорення піку у 160 доларів. Його Zoom досяг в березні ще до спалаху заборон та обмежень.
Останніми компаніями, які заборонили Zoom для корпоративного користування, стали німецький автовиробник Daimler та шведська компанія Ericsson.
