Nedostatok v službe Zoom odhaľuje informácie používateľov

Obľúbený videokonferenčný nástroj Zoom pochybil v ochrane osobných údajov svojich používateľov. Služba totiž zverejňovala e-mailové adresy a fotografie niekoľko tisíc používateľov a zároveň umožňovala, aby tieto osoby kontaktovali úplní neznámi. Správu priniesol Motherboard.

Platforma totiž automaticky páruje používateľov v rámci jednej e-mailovej domény. Ak zamestnanci používajú pracovné účty, môžu takýmto spôsobom získať kontakt na kolegov. Viacerí používatelia ale nahlásili, že keď zadali súkromnú e-mailovú adresu, Zoom ich spároval s náhodnými ľuďmi a odhalil ich údaje.

Z dostupných informácií vyplýva, že problém sa netýka účtov, do ktorých sa používatelia prihlásili prostredníctvom e-mailových adries na známych platformách, ako sú Gmail, Outlook či Hotmail. Problémy údajne spôsobujú iba menej známi prevádzkovatelia e-mailových služieb.

Zoom totiž nemá v databáze všetkých e-mailových prevádzkovateľov. V prípade, že sa používateľ spolieha napríklad na neznámu lokálnu službu, bude spárovaný so všetkými ostatnými používateľmi s rovnakou doménou. Služby, ktorých sa aktuálny problém týkal, už ale boli pridané na oficiálny zoznam videoplatformy.

Nejde o jediný prešľap

Služba sa v súčasnej situácii, kedy platia špeciálne nariadenia kvôli šíreniu koronavírusu , teší nárastu popularity. Mnohí zamestnanci ho totiž využívajú na prácu z domu. Za posledný týždeň sa ale s problémami ohľadom ochrany osobných údajov doslova roztrhlo vrece a autori Zoomu tak rozhodne majú čo vysvetľovať.

Motherboard napríklad informoval aj o tom, že iOS verzia mobilnej aplikácie Zoom odosiela údaje Facebooku. A to dokonca aj v prípade, ak používateľ nemá účet na tejto sociálnej sieti. Zoom síce v zásadách ochrany súkromia uvádza, že môže zbierať údaje z profilu na Facebooku, nikde sa ale nespomína odosielanie údajov.

Firma neskôr problém vyriešila aktualizáciou aplikácie. O odosielaní dát vraj nevedela, pričom k nemu malo dochádzať na základe implementácie Facebook SDK pre funkciu prihlásenia sa cez účet na sieti. Dáta, ktoré aplikácia odosielala, nemali byť citlivého charakteru. Išlo vraj len o informácie o samotnom zariadení, napríklad verzia OS či model telefónu.

Okrem toho web The Intercept priniesol správu, že Zoom nepoužíva end-to-end šifrovanie, napriek tomu, že to na svojom webe aj v aplikácii prezentuje. Z vyjadrení služby pre The Intercept vyplýva, že využíva zabezpečenie cez protokol TLS, aký je využívaný napríklad pri navštevovaní webstránok cez HTTPS. Prístup k obrazu a zvuku videokonferencie tak v praxi nemajú len jej účastníci, ale aj samotná služba.