Однако небывалый прирост людей раскрыл слабые стороны сервиса — множество уязвимостей, ставящих под удар конфиденциальность юзеров. С конца марта и вплоть до середины апреля Zoom не пропадает из новостных лент и всё чаще становится предметом жарких дискуссий как среди обывателей, так и среди политиков и экспертов по кибербезопасности.

NEWS.ru решил разобраться в хронологии событий.

Всё началось с расследования Motherboard, раскрывающим , что iOS-приложение Zoom на iOS отправляла данные в Facebook, не упоминая об этом в политике конфиденциальности. После загрузки и установки программа подключается к API Graph (Facebook) и собирает информацию, связанную не только с профилем пользователя в Facebook, но и с теми юзерами, у которых нет учётной записи в соцсети.

Zoom сообщала социальной сети, когда приложение открывалось на iOS, какое устройство использовал пользователь и из какого города и часового пояса он подключался. Данные также содержали уникальный тег, связанный с девайсом, который компании используют для таргетированной рекламы.

Спустя день Zoom удалил код из приложения, а генеральный директор компании Эрик Юань извинился перед юзерами, пообещав пересмотреть процесс и протоколы реализации подобных функций в будущем, чтобы избежать повторения случившегося. Материал Motherboard, как оказалось, только запустил машину по поиску уязвимостей на платформе, однако предпосылки к этому были ещё в 2019 году.

Исследователи кибербезопасности Check Point Research обнаружили уязвимость в Zoom, которая позволяла потенциальному злоумышленнику присоединиться к беседе без приглашения и прослушать её, а также получить доступ к любой информации или файлам, переданным во время видеоконференции.

Каждый вызов Zoom имеет случайно сгенерированный идентификационный номер длиной от 9 до 11 цифр, который используется участниками в качестве своего рода адреса. Исследователи нашли способ спрогнозировать, какие встречи были действительными, примерно в 4% случаев и смогли присоединиться к некоторым из них.

Как утверждают в Check Point, они не нашли способа связать идентификатор собрания Zoom с конкретным пользователем и не смогли получить доступ к камерам или микрофонам других участников видеоконференции. Специалисты сообщили об уязвимости Zoom, и в августе 2019 года компания в кратчайшие сроки устранила проблему — разработчики заменили случайную генерацию идентификационных номеров на «криптографически надёжную», добавили больше цифр и установили требование использования паролей по умолчанию для будущих виртуальных собраний.

31 марта издание The Intercept выпустило собственное расследование, которое рассказало, что видеозвонки в Zoom не защищены сквозным шифрованием (end-to-end, E2E), хотя в маркетинговых материалах утверждалось обратное. Представитель компании уточнил, что для защиты видеоконференцией используется технология безопасности транспортного уровня (шифрование TLS), такая же, как у HTTPS-сайтов.

Специалисты по кибербезопасности, в свою очередь, усилили поиск уязвимостей в Zoom. Так, помимо бага в Windows-версии, позволявшему украсть пароль учётной записи системы, бывший хакер АНБ Патрик Уордл (Patrick Wardle) обнаружил ещё две ошибки, одна из которых могла предоставить потенциальным злоумышленникам доступ к микрофону и веб-камере.

А вот технический руководитель VMRay Феликс Зееле (Felix Seele) выяснил, что установщик Zoom для macOS позволял обойти ограничения Apple, связанные с операционной системой, используя «те же приемы, которые используются вредоносными программами».