В разгар пандемии COVID-19, когда миллионы людей оказались «заперты» в собственных домах, соцсети, мессенджеры и видеочаты получили резкий всплеск популярности. Среди них оказалась и платформа видео-конференц-связи Zoom, аудитория которой увеличилась с 10 млн пользователей в декабре 2019-го до 200 млн в марте 2020-го.
Однако небывалый прирост людей раскрыл слабые стороны сервиса — множество уязвимостей, ставящих под удар конфиденциальность юзеров. С конца марта и вплоть до середины апреля Zoom не пропадает из новостных лент и всё чаще становится предметом жарких дискуссий как среди обывателей, так и среди политиков и экспертов по кибербезопасности.
NEWS.ru решил разобраться в хронологии событий.
Всё началось с расследования Motherboard, раскрывающего, что iOS-приложение Zoom на iOS отправляло данные в Facebook, не упоминая об этом в политике конфиденциальности. После загрузки и установки программа подключается к API Graph (Facebook) и собирает информацию, связанную не только с профилем пользователя в Facebook, но и с теми юзерами, у которых нет учётной записи в соцсети.
Zoom сообщала социальной сети, когда приложение открывалось на iOS, какое устройство использовал пользователь и из какого города и часового пояса он подключался. Данные также содержали уникальный тег, связанный с девайсом, который компании используют для таргетированной рекламы.
Спустя день Zoom удалил код из приложения, а генеральный директор компании Эрик Юань извинился перед юзерами, пообещав пересмотреть процесс и протоколы реализации подобных функций в будущем, чтобы избежать повторения случившегося. Материал Motherboard, как оказалось, только запустил машину по поиску уязвимостей на платформе, однако предпосылки к этому были ещё в 2019 году.
Исследователи кибербезопасности Check Point Research обнаружили уязвимость в Zoom, которая позволяла потенциальному злоумышленнику присоединиться к беседе без приглашения и прослушать её, а также получить доступ к любой информации или файлам, переданным во время видеоконференции.
Каждый вызов Zoom имеет случайно сгенерированный идентификационный номер длиной от 9 до 11 цифр, который используется участниками в качестве своего рода адреса. Исследователи нашли способ спрогнозировать, какие встречи были действительными, примерно в 4% случаев и смогли присоединиться к некоторым из них.
Как утверждают в Check Point, они не нашли способа связать идентификатор собрания Zoom с конкретным пользователем и не смогли получить доступ к камерам или микрофонам других участников видеоконференции. Специалисты сообщили об уязвимости Zoom, и в августе 2019 года компания в кратчайшие сроки устранила проблему — разработчики заменили случайную генерацию идентификационных номеров на «криптографически надёжную», добавили больше цифр и установили требование использования паролей по умолчанию для будущих виртуальных собраний.
31 марта издание The Intercept выпустило собственное расследование, которое рассказало, что видеозвонки в Zoom не защищены сквозным шифрованием (end-to-end, E2E), хотя в маркетинговых материалах утверждалось обратное. Представитель компании уточнил, что для защиты видеоконференцией используется технология безопасности транспортного уровня (шифрование TLS), такая же, как у HTTPS-сайтов.
В настоящее время невозможно включить шифрование E2E для видеоконференций Zoom, — заявил изданию представитель сервиса.
Специалисты по кибербезопасности, в свою очередь, усилили поиск уязвимостей в Zoom. Так, помимо бага в Windows-версии, позволявшего украсть пароль учётной записи системы, бывший хакер АНБ Патрик Уордл (Patrick Wardle) обнаружил ещё две ошибки, одна из которых могла предоставить потенциальным злоумышленникам доступ к микрофону и веб-камере.
А вот технический руководитель VMRay Феликс Зееле (Felix Seele) выяснил, что установщик Zoom для macOS позволял обойти ограничения Apple, связанные с операционной системой, используя «те же приёмы, которые используются вредоносными программами».
Тем временем в конце марта в отношении Zoom был подан коллективный иск, в котором утверждалось, что платформа нарушила калифорнийский закон о защите данных, не получив должного согласия от пользователей сервиса на передачу данных в Facebook.
Проблемы с защитой не могли не привлечь внимание интернет-троллей. Они начали массово терроризировать пользователей Zoom, вторгаясь в публичные конференции. Атаки получили название Zoombombing, во время которых ничего не подозревающим участникам беседы (в основном школьникам и студентам) демонстрировали, например, свастику, расистский и порнографический контент.
Всё это достигло таких масштабов, что 30 марта ФБР было вынуждено публично предупредить пользователей об уязвимостях Zoom. Бюро посоветовало преподавателям защищать видеовызовы с помощью паролей, отключить общий доступ и не размещать ссылки на конференции в соцсетях.
Использование сервиса начали ограничивать (или вовсе от него отказываться) в школах, а также в таких крупных компаниях и структурах, как Google и МИД Германии. Так, SpaceX Илона Маска запретила сотрудникам использовать платформу видео-конференц-связи Zoom, сославшись на значительные проблемы с конфиденциальностью и безопасностью. К слову, ИИ-версию миллиардера использовали в шуточном Zoombombing.
В начале апреля группа исследователей разработала автоматизированный инструмент zWarDial, который за час может находить около 100 конференций в Zoom, не защищённых паролями. Программа использовала метод перебора уникальных идентификаторов сервиса и угадывала ID с вероятностью 14%.
3 апреля новое Zoom-расследование опубликовало The Washington Post. Как сообщило издание, несколько тысяч личных видеозвонков, сделанных на платформе, были опубликованы на YouTube и Vimeo. Ролики содержали частные сеансы психотерапии, собрания малого бизнеса, на которых обсуждались финансовые отчёты частных компаний, и занятия в начальной школе с раскрытием информации об учащихся.
В это же время Tycko и Zavareei LLP подали второй по счёту коллективный иск против Zoom, а CNET и The New York Times сообщили об организации анонимными злоумышленниками посредством Twitter и Instagram так называемых Zoom-рейдов, массовых Zoombombing.
Разработчики Zoom, как отметили в компании, неустанно работают над устранением уязвимостей и изменением подхода к защите данных.
Я действительно облажался как генеральный директор, и нам нужно вернуть их (пользователей. — NEWS.ru) доверие. Такого не должно было случиться, — рассказал в интервью The Wall Street Journal Юань.
Генеральный директор в начале апреля провёл первый из обещанных еженедельных вебинаров, в котором рассказал о текущей ситуации в компании, её главных ошибках и дальнейших планах. По словам Юаня, функции безопасности Zoom оказались недостаточно понятными для среднего пользователя, поэтому в этом плане разработчики намерены сделать сервис более дружелюбным. Глава платформы также отрицает продажу компанией данных пользователей.
Zoom также продолжает активно информировать пользователей о том, как они могут защитить свои видеособрания от нежелательных гостей посредством обучающих курсов, пособий и вебинаров. В компании уверены, что таким образом «помогут юзерам понять особенности своих учётных записей и узнать, как наилучшим образом использовать платформу».
Для корректировки способов защиты данных сервис привлёк бывшего руководителя отдела безопасности Facebook и Yahoo Алекса Стамоса. Он присоединился к компании в качестве внешнего консультанта после личного телефонного разговора с Юанем. Zoom также объявила о создании главного совета по информации и безопасности, целью которого станет полный анализ безопасности технологии компании и будет включать, по словам Юаня, «подгруппу CISO, которые будут лично выступать в качестве советников».
Когда речь заходит о конфликте между удобством использования, конфиденциальностью и безопасностью, конфиденциальность и безопасность [являются] более важными — даже ценой нескольких лишних кликов. Мы собираемся превратить наш бизнес в образ мышления, основанного на конфиденциальности и безопасности, — заявил Юань в интервью NPR.
Пока Zoom пытается вернуть расположение пользователей и усилить киберзащиту, на компанию продолжают подавать в суд. Четвёртый по счёту иск подал один из акционеров Zoom Video Communications Майкл Дриё. Инвестор обвинил разработчиков в намеренном сокрытии уязвимостей, которые привели не только к утечке тысяч записей видеоконференций, но и к снижению стоимости акций компании.
Вся ситуация с Zoom наглядно демонстрирует, что халатное отношение к безопасности и конфиденциальности онлайн-сервиса может нанести сокрушительный удар по его репутации. При правильной работе над ошибками и выверенной стратегии разработчики смогут сохранить компанию на плаву, но вот вернуть расположение людей им вряд ли удастся.
