Zoom prikazuje mejl adrese i fotografije svojih korisnika ljudima koje oni ne poznaju

Popularna aplikacija za video konferencije Zoom neovlašćeno je otuđila lične podatke najmanje hiljadu svojih korisnika, uključujući njihove email adrese i fotografije, dajući nepoznatim osobama pristup da započnu video poziv sa njima preko ove platforme.

Ovaj problem leži u podešavanju „Company Directory“, koje automatski dodaje druge ljude na listu kontakata korisnika ukoliko su se prijavili preko mejl adrese koja je na istom domenu kao i njihova. Ovo olakšava pronalaženje kolega kada domen pripada nekoj kompaniji. Ipak, nekoliko korisnika ove platforme kažu da su se prijavili uz pomoć ličnih email adresa, a da ih je Zoom spojio sa hiljadama drugih ljudi, kao da svi rade za istu kompaniju, prikazujući svima međusobno njihove lične informacije.

„Bio sam šokiran! Prijavio sam se na platormu, sreća pod pseudonimom, i video listu od 995 ljudi koje ne poznajem sa njihovim imenima, fotografijama i mejl adresama,“ napisao nam je Berend Gerils, korisnik Zoom platforme preko mejla.

Gerils nam je poslao i skinšot svog ekrana nakon što se ulogovao na Zoom sa skoro 1000 različitih naloga izlistanih u sekciji „Company Directory“. On kaže da “nikoga od njih, naravno,“ ne poznaje. Kaže i daje njegov partner doživeo isti problem kada se ulogovao preko drugog provajdera, a na njegovoj listi bilo je preko tri stotine ljudi.

„Ukoliko se ulogujete na Zoom uz pomoć nestandardnog provajdera (ne preko Gmail-a ili Hotmail-a ili Yahoo-a etc), imaćete pristup listi svih prijavljenih korisnika Zomm-a tog provajdera: njihova puna imena, mejl adrese, profilne fotografije, ukoliko su ih uneli, kao i njihov status. A možete ih i pozvati,“ kaže Gerils. Drugi korisnik, ipak, mora prvo prihvatiti poziv od nepoznate osobe kako bi razgovor započeo.

Na svom veb-sajtu, iz Zoom-a kažu da, „Po difoltu, vaši kontakti na platformi Zoom sadrže interne korisnike iz iste organizacije, koji ili imaju isti nalog, ili kojima su mejl adrese registrovane na istom domenu kao i vaša (izuzev za javno korišćene domene koji uključuju gmail.com, yahoo.com, hotmail.com, etc) i oni se nalaze u sekciji Company Directory.“

Njihov sistem ipak ne prepoznaje sve domene koji su korišćeni za lične mejl adrese. Gerils nam je rekao da se ovaj problem uočen na domenima xs4all.nl, dds.nl, i quicknet.nl. Sve ovo su holandski provajderi internet usluga koji nude e-mail servise.

Na Tviteru smo pronašli i druge korisnike iz Holandije koji prijavljuju isti ovaj problem.

„Prijavio sam se preko svog privatnog mejla i odmah sam na spisku imao hiljadu imena, mejlova i fotki ljudi u ovoj sekciji. Je l ovo internacionalno?“ tvitovao je jedan korisnik uz skrinšot.

Holandski provajder XS4ALL tvitovao je su kao odgovor na prigovor u nedelju, “Ne možemo da onemogućimo ovu opciju. Kontaktirajte Zoom da vam pomogne oko ovoga.“

Holandski provajder DDS izjavio je za Motherboard u mejlu da su svesni problema, ali da im se korisnici i dalje nisu direktno žalili.

„Zoom poseduje listu domena i redovno identifikujemo nove domene koji se dodaju na listu,“ rekao je portparol Zoom-a za Motherboard. „Domeni koje ste nam naveli od sada će biti na toj listi.“ Oni su takođe i naglasili da postoji stranica na njihovom sajtu gde korisnici mogu zahtevati da i drugi domeni budu uklonjeni iz sekcije Company Directory.

Prošle nedelje, Zoom je apdejtovao veziju svoje aplikacije za iOS nakon što je Motherboard otkrio da je prethodna analitiku podataka slala Fejsbuku. U ponedeljak, jedan korisnik je podneo tužbu protiv kompanije Zoom zbog ovog neovlašćenog transfera podataka. Istog dana, njujorški državni tužilac poslao je pismo Zoom-u u kome ih pita o merama bezbednosti koje je ova kompanija primenila nakon što je postala ovoliko popularna.

Ovaj članak je prvobitno objavljen na VICE US.