Программа Zoom в связи с мировой обстановкой приобретает популярность среди перешедших на удаленную работу или обучение.
Но все чаще стали возникать вопросы, касающиеся безопасности данных в программе. Пользователи стали замечать, что программа использует их данные без согласия, а иногда и автоматически, как вирус, устанавливается на устройство без разрешения. Хорошая ли безопасность у этой программы?
Каким требованиям законодательства в сфере безопасности отвечает Zoom
Приложением Zoom пользуется все большее количество пользователей. Они оставляют свои данные, обмениваются информацией.
Для того, чтобы защитить информацию пользователей, существует закон 149-ФЗ «Об информации, информационных технологиях и о защите информации». В этом законе говорится, что нельзя распространять личную информацию без согласия пользователя и то, что тот, кто хранит информацию, должен обеспечивать защиту. Программа Zoom соответствует этому закону о безопасности.
Почему Zoom называют небезопасной платформой
Несмотря на большое количество скачиваний – Zoom по популярности уступает Тик –Току – у пользователей возникли сомнения в безопасности программы для проведения видеоконференций. Неоднократно замечены утечки личной информации, подозрительной тишиной, когда неожиданно нет звука от собеседников, пропажи видеозаписей.
В США Zoom стал участником судебного разбирательства, связанного с массовой утечкой информации о пользователях в связи с этими событиями компании как NASA, Google,Apple, Apple и Пентагон отказались от этой программы. В России же ней продолжают пользоваться крупные структуры.
Передача данных
Стало известно, что персональные данные пользователей, использующих программу на устройствах с операционной системой Ios, стали передаваться в социальную сеть Facebook.Пари этом, пользователи не имели своих страниц в этой социальной сети. Программа делилась с Zoom такими данными:
- уникальный код мобильного устройства;
- оператор мобильной связи;
- местоположение абонента;
- контакты.
Вся эта информация могла быть использована для таргетирования рекламных компаний. Руководство заявило, что выпустило обновление, которое не передает идентификационный номер.
Слабое шифрование видео
Издание Intercept заявило, что программа во время передачи аудио и видео информации не использует сквозное шифрование Е2Е, которое специалистами компани признано как самый надежный способ шифрования. И хотя в программе создателями указывалось, что программа применяет такую технологию, однако на самом деле в ход шло TLS-шифрование данных.
Его отличие заключалось в том, что такая технология не подвергает шифровке послание от пользователя к пользователю, а шифрует передачу от сервера к пользователю. Получается, что сама компания получает доступ ко всей информации, которой пользователи делятся друг с другом.
Дыры в безопасности
Также стало известно. Что группа неизвестных злоумышленников предлагали на продажу открытых им два слабых места, позволяющих обойти защиту приложения. Одна из таких дыр была найдена для системы Windows, другая – для macOS и Linux. Специалисты отметили, что таким «дырами» в системе безопасности можно пользоваться недолго – разработчики обязательно их заметят и устранят. Сам факт того, что слабые места существуют, лишь портят репутацию Zoom. Такие места, позволяющие обойти систему безопасности, идеальны для технического шпионажа.
Прослушка вызовов
Занимающаяся кибербезопасностью компания сообщила о том, что в программе Zoom есть еще одна «дыра», позволяющая прослушивать знающим о ней людям вызову. И не только прослушивать, но и получать полную информацию о аудио и видео, которыми обмениваются конкретные пользователи.
Хакер мог создавать идентификационный код, и с помощью автоматического поиска находить беседы. Если они не были защищены кодом, то он мог без проблем поучить нужную ему информацию.
В Zoom исправили эту проблему, сделав обязательным пароль для получения доступ, изменили идентификатор на более сложный код.
Запрещённый контент в эфире
С возросшей популярностью программы Zoom ей заинтересовались различные злоумышленники. Их целью являлось не только получение личной информации пользователей, но и распространение запрещенной информации по типу порнографии. К примеру, изображений или видео порнографического характера.
Злоумышленники подключались к конференциям и начинали транслировать на них запрещенные видео. Никаких целей, кроме хулиганских, эти действия не преследовали. Для подключения к конференциям злоумышленники пользуются ссылками, которые сами пользователи размещают в сети.
Хранение кодов в Китае
Многими специалистами было замечено, что ключи, которые используются для шифрования, были отправлены на китайские серверы. Явление не имело распространенного характера, однако, имело место. Расположенная в Кремниевой долине компания владеет тремя дочерними китайскими фирмами. В каждой из фирм работает 700 китайских служащих. Возможно, что на работников, работающих там, было оказано политическое давление от Китая. Компания Zoom после этих заявлений предоставила возможность выбора региона, куда отправятся ключи кодов, отвечающих за безопасность.
Неполное удаление видео
Один из порталов сообщил об уязвимости системы, при которой можно найти и посмотреть сохраненные ролики. Отыскать ролики можно было с помощью ссылки общего доступа организации или компании. Видео можно было посмотреть после удаления. Ролики могли содержать в себе ценную информацию, которую не следовало знать общественности.
После удаления видеонаходилось в доступе несколько часов, и за это время его могли посмотреть все желающие. Это не устраивало многих пользователей, чье удаленное видео по какой – либо причине не удалялось. Компания Zoom выпустила обновление, устранившее эту проблему.
Продажа аккаунтов
Более 500 000-аккаунтов продаются в даркнете на форумах хакеров и профессиональных взломщиков. Однако непосредственной вины компании Zoom в этом нет. Хакеры используют утечки информации, полученные из других сервисов и социальных сетей. Получив данные, хакеры подбирают их для входа в учетную запись Zoom.
Подобрав подходящие комбинации данных через утечку информации, мошенники выставляют списки на продажу. Иногда списки продаются бесплатно – к примеру, для хулиганских действий. Известно о выставлении на продажу списка на 4200 пользователей, 31 из которых относился к России. Создатели Zoom активно борются с этим.
Скачивание без согласия
Сотрудник одной из фирм, занимающихся обеспечением кибербезопасности заявил, что фирму обращались клиенты, у которых Zoom автоматически скачивалась на устройство. Это был не вирус, замаскированный под программу для видеоконференций, а сама оригинальная программа.
Скачивание часто начиналось без видимых причин и без желания пользователя. Такое поведение обычно свойственно вредоносному программному обеспечению, но не официальной программе. Зачем по какой причине приложение автоматически скачивается на устройства до сих пор неизвестно, и разработчики не знают, как устранить эту проблему.
Связь через посредника
Случаются прецеденты, когда программа может пожертвовать безопасностью данных в пользу удобства и скорости соединения. В программе отсутствуют механизмы авторизации. Используемая двухфакторная аутентификация пользователя доступна только при использовании браузера. Подтвердить верификацию с помощью сообщений невозможно. Получается, что любой пользователь может назвать себя кем угодно, и эту информацию никак нельзя проверить.
Во время звонка связь идет через посредника – мобильного оператора или провайдера. Во время этой передачи безопасность zoom очень слабая, и этим могут воспользоваться злоумышленники.
Как защитить свою цифровую безопасность в Zoom
Программа Zoom для проведения видеоконференций в связи с карантинными мерами приобрела популярность среди пользователей. Но не обходится без хакеров и мошенников, стремящихся получить личные данные пользователей и использовать их.
Для того, чтобы защитить аккаунт, нужно придерживаться общих правил безопасности, не показывать свои личные данные для входа в аккаунт сторонним лицам и не выкладывать ссылки или приглашения в общем доступе. Не смотря на регулярные обновления и улучшение защиты программы пользователи должны вести себя осмотрительно и беречь личные данные.
Защита учетной записи
Учетная запись Zoom – это аккаунт с личной информацией и персональными данными пользователя. Необходимо знать, какие бывают угрозы, как защититься от них.
Прежде всего, стоит создать неочевидный пароль, который сложно подобрать, для входа на страницу.
При регистрации каждому пользователю дается личный идентификатор. Этот идентификатор следует использовать с большой осторожностью, не размещать в социальных сетях. Идентификатором можно делиться с проверенными пользователями, вызывающими доверие – каждый, кто узнает идентификатор, может подключиться к встрече. Этим могут воспользоваться мошенники.
Не скачивайте поддельные приложения и моды
Как выяснили специалисты по исследованию вредоносных программ, они могут иметь названия популярных сервисов. Под этим названием и внешним сходством может скрываться программа – шпион, считывающей личные данные. Или вирус, который нанесет вред системе.
Чтобы избежать этого, следует скачивать программы для общения с официального сайта или приложений. Любые сторонние сайты рекомендуется избегать, нельзя с них скачивать как саму программу, так и моды, и обновления, даже если сайт кажется надежным.
Каждую конференцию на пароль
Каждую конференцию рекомендуется ставить на пароль – это ограничит количество участников. Сторонний человек, не зная пароля, не сможет к ней подключиться. Пароль для входа в конференцию должны знать ее участники, нельзя оставлять его в общем доступе – в социальных сетях, форумах, сайтах, и других социальных площадках. Пароль в конференции в последних обновлениях стал появляться по умолчанию, что позволило повысить безопасность конференций.
Важное правило безопасности зум – никто, кроме участников конференции не должен знать о ссылках, идентификаторах и паролях для беседы.
Используем залы ожидания
В программе есть полезная функция под названием «Зал ожидания». Она включена по умолчанию и помогает в обеспечении безопасности конференции. Смысл этого специального режима заключен в том, что желающие попасть в конференцию сначала оказываются в «Зале ожидания», и только после одобрения организатором конференции могут подключиться.
Это позволило избежать появления нежелательных лиц. Это актуально в том случае, если приглашение было выложено на общедоступные ресурсы. При необходимости. Некоторых участников можно отправить обратно в комнату ожидания.
Включаем демонстрацию только после проверки безопасности данных
Демонстрацию следует запускать только после того, как организатор убедится, что подключились те, кто должен участвовать к конференции, и нет посторонних звуков и людей. Следует включить антивирус. Необходимо включить все функции программы и обеспечивать вход только через пароль и только проверенным пользователям.
Важно не только переходить по проверенным ссылкам и подключать надежных пользователей. Важно задуматься над тем, какая информация может быть показана в видеоконференции и не станет ли она поводом для блокировки профиля.
Программа Zoom защищена от действий злоумышленников. Следует не забывать про меры безопасности личной информации и не делиться ей с незнакомыми пользователями. Это позволит защитить аккаунт и не опасаться за сохранность персональных данных. Злоумышленники не смогут воспользоваться паролем, если известен только одному пользователю.