Der aktuell sehr populäre Videokonferenz-Dienst Zoom hat persönliche Informationen von mindestens Tausenden Usern geleakt, darunter auch ihre E-Mail-Adressen mitsamt Foto. Fremden war es dadurch möglich, sich gegenseitig mit Zoom anzurufen.
Das Problem ist Zooms “Company Directory”-Feature, also eine Art internes Mitarbeiterverzeichnis. Die Funktion nimmt automatisch Menschen in die Kontaktliste mit auf, deren E-Mail-Adresse die gleiche Domain hat. Das kann von Vorteil sein, wenn man eine Firmenadresse hat und seine Kolleginnen und Kollegen erreichen möchte. Aber mehrere Zoom-User berichten, dass ihre privaten E-Mail-Adressen plötzlich mit Tausenden Fremden verbunden waren – als würden sie im gleichen Unternehmen arbeiten.
Videos by VICE
VICE-Video: Dieser Mann bringt selbst die schrottigsten Tesla-Autos wieder auf die Straße
“Ich war schockiert! Ich meldete mich an, zum Glück nur mit einem Alias, und sah die Namen, Fotos und E-Mailadressen von 995 Fremden”, schrieb Barend Gehrels in einer E-Mail. Der User hatte VICE auf die Sicherheitslücke aufmerksam gemacht.
Zum Beweis stellte Gehrels einen bearbeiteten Screenshot mit den knapp 1.000 verschiedenen Accounts bereit, die in seinem “Mitarbeiterverzeichnis” aufgelistet waren. Er gab an, keine dieser Personen zu kennen. Seine Partnerin habe das gleiche Problem mit einem anderen E-Mail-Anbieter gehabt. In ihrer Kontaktliste waren über 300 Unbekannte aufgetaucht.
“Wenn du dich bei Zoom nicht mit einem Standard-Provider anmeldest, also nicht mit Gmail, Hotmail, Yahoo, etc., dann siehst du alle User dieses Anbieters. Du siehst ihre vollen Namen, ihre E-Mail-Adressen, ihre Profilbilder und ihren Status. Und du kannst sie einfach über Zoom anrufen”, sagt Gehrels. Für einen erfolgreichen Verbindungsaufbau muss die Person am anderen Ende den Anruf allerdings auch annehmen.
Auch wenn Zoom angibt, öffentlich genutzte Domains wie gmail.com, yahoo.com, hotmail.com von der Company-Directory-Funktion auszuschließen, scheinen nicht alle Mailprovider darunter zu fallen.
Gehrels sagt, dass er das Problem bei den Domains xs4all.nl, dds.nl und quicknet.nl gefunden habe. Das sind niederländische Internetanbieter, bei denen man sich auch eine E-Mail-Adresse einrichten kann.
Andere User aus den Niederlanden berichteten von demselben Problem. “Ich habe gerade die kostenlose Privatversion von Zoom ausprobiert und mich mit meiner privaten E-Mail angemeldet. Jetzt habe ich hier 1.000 Namen, E-Mail-Adressen und sogar Bilder von Menschen im Company Directory. Ist das Absicht?”, schrieb vergangene Woche ein User auf Twitter, mitsamt Screenshot.
Der niederländische Internetanbieter XS4ALL reagierte am Sonntag auf diese Beschwerde: “Das können wir selbst nicht abschalten. Vielleicht kann Zoom Ihnen dabei helfen.”
Das niederländische Unternehmen DDS schrieb VICE in einer E-Mail, man sei sich des Problems bewusst. Bislang sei man aber von den eigenen Kunden nicht darauf angesprochen worden.
“Zoom betreibt eine Blacklist mit Domains und fügt regelmäßig proaktiv weitere Domains hinzu”, sagte ein Zoom-Sprecher zu VICE. “Die von Ihnen angesprochenen Domains sind inzwischen auch auf dieser Blacklist.” Außerdem verwies die Firma auf ein Anfragen-Formular auf der Homepage, über das User darum bitten können, weitere Domains für die Company-Directory-Funktion zu blockieren.
Vergangene Woche aktualisierte Zoom die iOS-Version seiner App, nachdem VICE-Recherchen gezeigt hatten, dass das Programm Daten an Facebook weitergibt. Am Montag reichte ein User wegen dieser Datenübertragung eine Sammelklage gegen Zoom ein.
Folge VICE auf Facebook, Instagram und Snapchat.