Zoom lascia visibili a sconosciuti gli indirizzi email e le foto di migliaia di persone

La app per fare videoconferenze Zoom—che sta spopolando anche in Italia in queste settimane di lavoro da casa e generale distanza sociale—ha fatto trapelare le informazioni personali di migliaia di utenti, compresi indirizzi email e foto, e ha dato a perfetti sconosciuti la possibilità di fare video chiamate tramite Zoom.

Il problema sta nelle impostazioni di Zoom alla voce "Company Directory," che aggiunge automaticamente le persone alla lista di contatti di un utente, se hanno fatto l'accesso con un indirizzo email che ha lo stesso dominio. Questo normalmente rende più facile risalire a un collega da chiamare quando il dominio appartiene a un'azienda specifica. Ma più utenti Zoom hanno fatto l'accesso con la propria mail personale e Zoom li ha messi insieme a migliaia di altre persone come se tutti lavorassero per la stessa azienda, mettendo in bella vista le informazioni personali di tutti a tutti.

"Sono rimasto sconvolto! Mi sono iscritto (con un nickname, per fortuna) e ho visto 995 perfetti sconosciuti con i loro nomi, foto e indirizzi email." ha scritto a Motherboard Barend Gehrels, un utente di Zoom colpito dal problema e che ha contattato la nostra redazione via email.

Gehrels a fornito uno screenshot redatto di ciò che vede quando fa log-in su Zoom, con quasi 1000 diversi account elencati nella sezione "Company Directory." Ha detto che queste erano "tutte persone che non conosco, ovviamente." Ha detto che anche la sua compagna ha avuto lo stesso problema con un altro gestore email, e aveva oltre 300 persone elencate tra i suoi contatti.

"Se ti iscrivi a Zoom con un provider non-standard (cioè non Gmail, Hotmail, o Yahoo, etc), allora vedrai i dettagli di TUTTI gli utenti iscritti a quel provider: i loro nomi per intero, gli indirizzi email, le foto profilo (se ne hanno una) e il loro status. E puoi anche video chiamarli," ha detto Gehrels. Certo un utente ha comunque la possibilità di accettare o rifiutare la chiamata in arrivo da uno sconosciuto, ma il problema resta.

Sul sito, Zoom dice, "di default, la directory dei tuoi contatti su Zoom contiene utenti interni alla stessa organizzazione, che sono nello stesso account o il cui indirizzo email usa lo stesso dominio (fatta eccezione per i domini usati pubblicamente come gmail.com, yahoo.com, hotmail.com, etc.) nella sezione Company Directory."

Il sistema di Zoom non esonera però i domini che sono usati per la email personale. Gehrels ha detto di essere incappato nel problema con i domini xs4all.nl, dds.nl, and quicknet.nl. Questi sono tutti ISP (fornitori internet) olandesi che offrono servizio email.

"Ho dato un'occhiata alla versione gratuita per uso privato di Zoom e mi sono registrato con la mia email personale. Ora ho i nomi, indirizzi email e foto di 1000 persone nella Company Directory. È fatto apposta?," ha twittato la settimana scorsa un utente, allegando uno screenshot.

L'ISP olandese XS4ALL ha twittato in risposta a una lamentela ricevuta domenica, "È un cosa che non possiamo disattivare noi. Devi capire se Zoom può aiutarti."

L'ISP olandese DDS ha detto a Motherboard via email che era a conoscenza del problema, ma che non aveva ricevuto messaggi diretti a tal proposito da nessuno dei suoi clienti.

"Zoom conserva una blacklist di domini e individua regolarmente e attivamente nuovi domini da aggiungere," ha detto a Motherboard un portavoce di Zoom. "Per quanto riguarda i domini specifici che avete segnalato nella vostra nota, sono ora inseriti nella blacklist." Hanno anche rimandato a una sezione del sito di Zoom dove gli utenti possono richiedere che altri domini siano rimossi dalla sezione Company Directory.

La settimana scorsa, Zoom ha aggiornato la versione iOS della sua app dopo che Motherboard ha scoperto che mandava dati di analytics a Facebook. Lunedì, un utente ha intentato un'azione legalecontro Zoom per il trasferimento dei dati. Lo stesso giorno, il procuratore generale di New York ha mandato una lettera a Zoom chiedendo quali misure di sicurezza l'azienda abbia predisposto ora che la app è diventata estremamente popolare in tutto il mondo.

Aggiornamento del 2/4/2020 alle 18:40: Zoom ha pubblicato sul blog aziendale un messaggio per i propri utenti, in cui spiegano le ragioni dell'incidente e quali misure stanno prendendo ora per migliorare la sicurezza della app. "Nelle ultime settimane, sostenere l'afflusso di nuovi utenti è stata un'impresa impegnativa e il nostro solo focus, […] ma riconosciamo di non aver atteso le aspettative di privacy e sicurezza della nostra comunità e di noi stessi," si legge nel post. "La nostra piattaforma è costruita principalmente per clienti aziendali — grosse istituzioni con dipartimenti IT interni," prosegue il post, spiegando che l'aumento di persone che usano Zoom per parlare con famiglia e amici "hanno contribuito a scoprire problemi finora non individuati nella piattaforma." Per leggere in dettaglio come Zoom intende migliorare la sicurezza e privacy della sua app, vai qui.