Компания Zoom Video Communications, которой принадлежит одноименный сервис видеоконференций, была обвинена акционером в сокрытии дефектов в системе безопасности сервиса Zoom, сообщает Bloomberg.
В жалобе, поданной во вторник в федеральный суд Сан-Франциско, компания и ее высшие должностные лица были обвинены в сокрытии правды о недостатках в шифровании приложения, включая его предполагаемую уязвимость для хакеров, а также в несанкционированном разглашении личной информации третьим лицам, включая Facebook.
Инвестор Майкл Дрие, подавший коллективный иск, утверждает, что серия публичных разоблачений о недостатках приложения, повлияла на стоимость акций Zoom — хотя в этом году акции компании выросли на 67 процентов, так как инвесторы делают ставку на то, что компания по проведению видеоконференций станет одним из немногих бенефециаров среди множества компаний, страдающих от спада в экономике из-за пандемии коронавируса.
Начиная со SpaceX и Tesla и заканчивая Министерством образования Нью-Йорка, ведомства и компании по всему миру начали запрещать использование приложения, которое стало популярным во время карантина из-за коронавируса. Zoom используют как для виртуальных посиделок за коктейлями или кофе до корпоративных встреч и дистанционного обучения.
Власти Тайваня первыми на государственном уровне запретили учреждениям использовать Zoom. После выхода этого распоряжения министерство образования страны ввело запрет на использование Zoom в школах. Ожидается, что примеру Тайваня могут последовать и правительства других стран.
В последнее время на фоне распространения коронавируса популярность Zoom особенно возросла, так как люди по всему миру переходят на удаленную работу или учебу. В марте дневная аудитория Zoom превысила 200 млн пользователей. В результате с начала текущего года стоимость акций компании увеличилась более чем в два раза.
Однако недавно выяснилось, что Zoom не использует end-to-end шифрование для видеконференций, а также позволяет присоединяться к трансляциям посторонним людям. Записи встреч также появились на публичных интернет-серверах.
На прошлой неделе глава Zoom Эрик Юань принёс извинения за то, что сервис не смог оправдать ожиданий пользователей в отношении конфиденциальности и безопасности. Он также заверил, что компания уже приняла меры по решению этих проблем.
"Быстрое освоение платформ для телеконференций, таких как Zoom, без надлежащей проверки на безопасность, потенциально подвергает опасности коммерческие тайны, государственные секреты и правозащитников", — пишут исследователи из Университета Торонто.
Компания Zoom работает над внедрением сквозного шифрования, но до этого еще несколько месяцев, сказал глава Zoom. Многие из проблем связаны с тем, что приложение было ориентировано на корпоративных клиентов с их собственными командами ИТ-безопасности, а не на широкую потребительскую аудиторию.
Эксперты по киберзащите разработали автоматизированную систему, которая в час находит по 100 конференций в Zoom, не закрытых паролем. За день хакерский инструмент под названием zWarDial может обнаружить около 2400 публичных аудио- и видеовстреч. Об этом рассказал исследователь в области компьютерной безопасности Брайан Кребс.
Специалисты создали сканер в демонстрационных целях, однако воссоздать его легко могут и злоумышленники. Работает zWarDial методом "грубой силы" — то есть путем перебора уникальных идентификаторов Zoom-конференций длиной от 9 до 11 цифр. Угадав ID, затем инструмент может извлечь данные о запланированной или повторяющейся встрече — в том числе ссылку, дату и время, имя организатора и тему обсуждений.
"С конца прошлого года новые встречи закрываются паролем по умолчанию, если эту опцию не отключили администраторы или владельцы аккаунтов", - сказали представители Zoom. Пользователям рекомендуется выставлять уникальный ID и пароль, а по возможности — ограничивать количество подключений точным числом участников.
Текущий иск — не первый в адрес компании. В конце марта в суд калифорнийского города Сан-Хосе поступил иск против Zoom от частного лица. Истец утверждал, что сервис собирает персональные данные без уведомления пользователей.