Все о безопасности платформы Зум для конференций

Платформа Зум, является востребованным сервисом для проведения видеоконференций и вебинаров. Но, довольно часто в её работе наблюдаются баги и дыры в системе безопасности. И конфиденциальная информация из аккаунтов или трансляций, утекает в руки мошенников. Также, клиенты сообщают о хулиганах врывающихся в видео-беседы, и мешающих собраниям. Ниже приведена информация о пробелах в системе, и о способах защиты аккаунта и трансляции.

Каким требованиям законодательства в сфере безопасности отвечает Zoom

Все сведения о клиентах, собираемые сервисом применяются только для улучшения процесса работы платформы и для оказания качественных услуг. Компания не собирает информацию для рекламных целей, и не передаёт полученные в результате сбора данные, сторонним лицам. В том числе и рекламным организациям.

Информация сохраняемая платформой состоит из пароля, логина, электронного ящика, айпи-адрес, имя и фамилию клиента.

Сервис придерживается правил и законов действующего законодательства стран, в которых он предоставляет свои услуги. Также, компания придерживается нормативных требований о безопасности личных данных, предъявляемых Генеральным регламентом работающем в сфере защиты персональных данных. И выполняет законы и положения предъявляемые Законом штата Калифорния, который описывает и диктует правила в сфере защиты потребительской конфиденциальности.

Зум позволяет пользователям, в определённых обстоятельствах, удалять данные о себе, которые хранит сервис. В случае, если собранные сведения больше не нужны.

Клиенты имеют право требовать ограничения в обработке личной информации или прекращения обработки данных.

Также в сервисе реализованы следующие инструменты для поддержания безопасности:

  • Аутентификация представлена обширным списком опций, с помощью которых пользователь может войти в систему.
  • Опция предварительного просмотра видеофайлов позволяет просматривать ролики, менять фон и входить в трансляцию не используя видеокамеру.
  • Двухфакторная аутентификация может включаться администратором для остальных участников. И им придётся использовать эту надстройку для входа в сервис.
  • Разрешение на запись. Опция настраивается администратором. Перед началом записи собрания, все участники получат на свои экраны сообщение о включённой записи.

Платформа имеет ряд сертификатов, полученных от организаций занимающихся обеспечением кибербезопасности в сети. Инструменты управления безопасностью платформы Зум работают в соответствии с правилами обеспечения облачной безопасности созданными Национальным центром безопасности в киберпространстве Великобритании.

Почему Zoom называют небезопасной платформой

Передача данных

Не так давно, а точнее весной, вскрылась информация о том, что приложение работающее на устройствах с операционной системой ios, сливает сведения о владельцах гаджета в социальную сеть Фейсбук. Даже если владелец смартфона в ней не зарегистрирован. Платформа передавала каким оператором мобильной связи пользуется человек, какой у него смартфон и рекламный код гаджета.

Сливала сведения в каком городе проживает владелец устройства, и к какому часовому поясу он относится. Подобные данные, часто используют при настройке показа рекламы, адаптируя её под конкретного человека.
Когда мир узнал об этом баге, Зум избавились от кода пересылавшего данные в социальную сеть. И разработчики по-быстрому создали обновление для приложений.

Но, через пару дней, на компанию был подан судебный иск, за нарушение конфиденциальных данных.

Слабое шифрование видео

Весна, явно не задалась для компании Зум, так как появились заявления о том, что сервис не защищает сквозным шифрованием трансляцию аудио и видеосигналов. Данное шифрование считается наиболее безопасным для передачи данных через ‘всемирную паутину’.

Сервис заявлял на своём сайте и в блоке с информацией для пользователей, что для безопасной передачи сведений применяется сквозной способ шифровки. Однако, на практике выяснилось, что применяется протокол TLS.

Подобное шифрование опасно тем, что кодировка данных происходит между серверами и клиентами. А не между пользователями. Из-за этого, Зум может подслушивать и подсматривать трансляции, и передавать их третьей стороне, например в полицию.

На претензию, компания пояснила, что сквозное шифрование применяется для обеспечения конфиденциальности в чатах. И у организации отсутствует ключ, позволяющий расшифровать передаваемые послания.

Дыры в безопасности

Снова по-весне, всплыла информация о торговле обнаруженными дырами и ‘кротовыми норами’ в защите сервиса. Пользователи обнаружили две проблемы в системе, и не сообщили о находках разработчикам. А решили вести преступную торговлю проблемами в системе. Обнаруженные ошибки, позволяли отслеживать звонки между клиентами платформы.

Это было озвучено человеком, ранее торговавшим информацией о ‘дырах’ в системе. Он рассказал, что одна проблема выявлена в программе для Виндовс, вторая для МакОС. Разработчики заявили, что провели проверку, и не обнаружили ‘пробоин’ в защите программ.

Прослушка вызовов

Зимой, одна из компаний занимающаяся кибербезопасностью, уведомила общественность о проблеме позволяющей вести прослушку вызовов и просматривать передаваемые в чатах документы и вложенные файлы. Проблема была связана с идентификаторами, которые предназначены для доступа к трансляции.

Злоумышленники создавали базу специальных кодов, и используя программы подбора ключей, искали идентификатор для проводимых видеобесед. Под удар попадали онлайн-собрания без пароля, к которым подходил идентификатор. Как выяснило агентство, вероятность правильного подбора ключа, равняется 4%.

На данный момент, этот баг исправлен разработчиками. Создали опцию отвечающую за использование пароля по умолчанию. Если злоумышленник попытается подключиться к беседе, то через пару попыток, он попадёт в бан.

Запрещённый контент в эфире

Хакеры, привлеченные массовой популярностью платформы, придумали для себе ‘развлечение’ — подключившись к онлайн-собранию, они вклинивались в эфир. И начинали крутить видеоролики содержащие в себе кадры с порнографией или насилием. Для подключения, хулиганы использовали ссылки на конференцию, размещённые в открытых форумах, чатах и группах.

Преследуемая цель, только одна — срыв встречи. Подобное наблюдалось во время школьных уроков. Неизвестные подключались в видеоуроку, и транслировали порно. Способом воспрепятствование подобному, является отправка ссылок в личных сообщениях, использование пароля и отключение доступа к демонстрации экрана.

Хранение кодов в Китае

Известно о случаях, когда ключи для шифровки шли на китайские сервера. Организация Зум имеет в своём владении несколько китайских дочерних организаций. И в них трудятся около 700 человек занимающихся разработкой ПО. В теории, кампания, может прогнуться под требования китайского правительства.

Сервис, в ответ на заявление создал настройку позволяющую самостоятельно выбирать территорию, через которую будут проходить ключи. Однако, для владельцев бесплатных учётных записей, данная настройка не действительна.

Неполное удаление видео

Было выяснено, что видеоролики, после удаления были доступны для ознакомления в облачном хранилище, в течение 1-2 часов. Также был обнаружен баг, с помощью которого в платформе находились ролики, через ссылки предназначенные для общего просмотра. Обнаруженные видеофайлы скачивались и просматривались на устройстве.
Сервис разработал новое обновление направленное на избавление от бага.

Продажа аккаунтов

В продаже аккаунтов Зум не виноват. Часто сами пользователи сливают данные для входа в аккаунты. Или хакеры подбирают данные для входа, которые были слиты ранее. Как выяснилось, в теневом интернете и закрытых группах на продажу выставлено около полумиллиона аккаунтов. Часть учёток, принадлежит российскому домену.

Скачивание без согласия

Один из работников компании работающей в сфере кибербезопасности установил, что программа для компьютеров работающих на операционной системе mac, может самостоятельно устанавливаться в систему. При этом не спрашивая разрешения у владельца устройства. Такое поведение софта, напоминает действие шпионского ПО.

Связь через посредника

Платформа не имеет нормальной авторизации. Верификация через смс-сообщения отсутствует, а двухфакторная аутентификация работает только в браузерной версии сервиса.

Не доработана защита данных и при подключении к звонку через ссылку. Сведения передаются посреднику (интернет-провайдер или мобильному оператору). Если оператор будет атакован хакерами, то информация клиента утечёт в ‘лапы’ злоумышленников.

Как защитить свою цифровую безопасность в Zoom

Защита учетной записи

Для обеспечения безопасности zoom, необходимо:

  • Настроить опцию двухфакторной аутентификации, которая обеспечит дополнительную защиту учёт ной записи.
  • Пароль от личного кабинета, должен быть сложным и надёжным. Стоит избегать комбинаций с цифрами идущими друг за другом или русских слов напечатанных в английской раскладке.
  • Не передавать PMI посторонним людям, не публиковать его на открытых форумах и площадках.

Также, при указании почтового адреса, лучше использовать стороннюю почту. Если она будет взломана, личные данные не уйдут ‘на сторону’.

Не скачивайте поддельные приложения и моды

Для обеспечения безопасности зум, нельзя качать программы и приложения с посторонних источников. По данным экспертов, в сети-интернет содержится большое количество вредоносного ПО, которое маскируется под приложения от сервиса зум.

Компьютерные программы, необходимо загружать с официального сервиса платформы. А приложения для смартфонов и планшетов, качаются с официальных маркетов приложений.

Каждую конференцию на пароль

Пароль необходимо устанавливать на каждую проводимую беседу. Это убережёт трансляцию от вторжения злоумышленников, и защитит передаваемую информацию. Подключится к онлайн-встречи получится у людей получивших, вместе с приглашением и секретный код. Пароль создаётся администратором при создании конференции. Который сообщает остальным участникам.

Чтобы найти пароль, необходимо:

  • В ведущейся трансляции, кликается иконка в виде i, расположенная в верхнем левом углу экрана.
  • Откроется текст, где пароль расположен напротив надписи с соответствующим названием.
  • В запланированной конференции:
  • Открывается раздел ‘Конференции’.
  • Кликается название беседы.
  • Нажимается строка с надписью ‘Показать приглашение на конференцию’.
  • Пароль будет отображаться в нижней строчке появившегося окна.

Используем залы ожидания

В настройках программы, есть опция включения специального режима, которая не позволяет входить в конференцию, не получив разрешения от администратора беседы. Называется она ‘Зал ожидания’.

Все участники при входе в конференцию помещаются в виртуальную комнату, где ждут пока организатор, их не запустит. Если пользователь, во время беседы будет мешать собранию, его перемещают обратно в комнату ожидания.

Включаем демонстрацию только после проверки безопасности данных
В платформе есть настройка позволяющая участникам собрания показывать происходящее на их экранах. При настройке беседы, необходимо выбрать, кто сможет демонстрировать экран. Доступ к показу экрана, нужно давать проверенным участникам. Если на встрече соберётся много незнакомых людей, лучше отключить показ экрана у собеседников.

Стоит отключать и микрофоны у пользователей в беседе. Когда нет звука, нет и возможности устроить беспорядок в собрании.

Как видно из приведённой информации, в Зуме имеется ряд определённых проблем. Однако, разработчики регулярно исправляют системные баги и пробелы в безопасности. Сохранение конфиденциальности, является и ответственностью самих пользователей Зум. Придерживаясь правил, клиенты помогут сохранять данные в безопасности.

Рейтинг
( Пока оценок нет )
Понравилась статья? Поделиться с друзьями:
Zoom - все о приложении
Adblock
detector