Zoom trafił na celownik cyberprzestępców

S

Skasowany użytkownik 6404

Tak się trolluje Zoom. Podczas posiedzenia komisji senackiej w USA wyemitowano pornografię

Zorganizowane przy pomocy aplikacji Zoom posiedzenie jednej z komisji senatu stanu Vermont zostało przerwane przez hakerów, udostępniających w jego trakcie treści pornograficzne. Jak ostrzegają eksperci, podobne ataki są aktualnie jednym z większych zagrożeń dla pracujących zdalnie organizacji, korzystających z aplikacji
Zaloguj lub Zarejestruj się aby zobaczyć!
.
Kliknij aby rozwinąć...

Zaloguj lub Zarejestruj się aby zobaczyć!
 
OXYGEN THIEF

OXYGEN THIEF

Bardzo aktywny
Członek Załogi
Administrator
Dołączył
26 Maj 2010
Posty
35817
Reakcje/Polubienia
24867
Miasto
Trololololo
Zoom wcale nie szyfrował połączeń metodą end-to-end

Według Federal Trade Commission, agencji chroniącej prawa konsumentów w USA, Zoom szyfrował wideokonferencje płatnych klientów inną metodą, niż end-to-end, obiecując właśnie takową.


Federal Trade Commission, agencja rządowa chroniąca prawa konsumentów w Stanach Zjednoczonych, twierdzi, że Zoom przez lata okłamywał swoich płatnych użytkowników co do szyfrowania połączeń metodą end-to-end. Dokładnie chodzi o to, że od 2016 roku firma rzekomo dostarczała inną wersję szyfrowania, niż end-to-end. Według FTC, pomimo że Zoom obiecywał swoim klientom taką właśnie metodę, to zachowywał klucze kryptograficzne, które pozwoliły firmie na podgląd spotkań swoich użytkowników, sprawiając, że calle były o wiele gorzej zabezpieczone.


Skarga FTC

Federal Trade Commission wskazuje na kilka przypadków, w których Zoom potwierdza dostarczanie szyfrowania metodą end-to-end do swoich płatnych użytkowników — pierwszy raz w czerwcu 2016 roku i w lipcu 2017 w swoim HIPAA compliance guide, który był przeznaczony dla klientów ze służby zdrowia. Zoom obiecywał end-to-end też w styczniu 2019 oraz w wielu pojedynczych odpowiedziach dla indywidualnych klientów.


Co więcej, FTC twierdzi, że firma wprowadzała w błąd tych użytkowników, którzy chcieli umieszczać nagrania ze spotkań w chmurze Zooma — firma twierdziła, że zostaną one zaszyfrowane zaraz po ich zakończeniu. Zamiast tego, nagrania były przechowywane w niezaszyfrowanej formie na serwerach Zooma przez nawet 60 dni — dopiero potem trafiały jako nagrania zaszyfrowane na chmurę.


Skarga od Federal Trade Commission dotyka jeszcze serwera webowego ZoomOpener, który obchodził protokoły bezpieczeństwa Apple’a na komputerach Mac. FTC twierdzi, że Zoom zainstalował swoje oprogramowanie na komputerach Apple'a jako część aktualizacji ich programu — czyli w sumie za plecami użytkowników. Co więcej, ZoomOpener pozostawał na komputerach, nawet po usunięciu samego narzędzia do wideokonferencji, i mógł nawet pozwolić zewnętrznym użytkownikom na przejęcie kamerki w Macach.


W 2019 firma zgodziła się na całkowite usunięcie problematycznego serwera webowego z komputerów Apple'a.


Pomimo że skarga FTC nie wymaga od Zooma wypłacenia odszkodowań swoim klientom, to firma mierzy się jeszcze z pozwami sądowymi od inwestorów i niektórych użytkowników, co może w końcu doprowadzić wypłacenia przez nią pewnych kwot pieniężnych.


Co na to Zoom?

Federal Trade Commission ogłosiło, że Zoom zgodził się na przyjęcie następujących warunków:


  • Co rok oceniać i dokumentować wszelkie potencjalne wewnętrzne i zewnętrzne zagrożenia bezpieczeństwa i opracowywać sposoby na zabezpieczenie się przed nimi
  • Wdrożyć program zarządzania lukami w zabezpieczeniach
  • Wdrażać takie zabezpieczenia jak uwierzytelnianie wieloskładnikowe, aby chronić się przed nieautoryzowanym dostępem do sieci
  • Ustanowić kontrolę usuwania danych i podjąć kroki, w celu zapobiegania użyciu ujawnionych danych jakiegoś użytkownika.


Sam Zoom odpowiada na skargę w następujący sposób: twierdzą oni, że bezpieczeństwo użytkowników jest dla nich całkowitym priorytetem i cały czas starają się ulepszać zabezpieczenia swojej platformy. Niemniej jednak Zoom będzie musiał wznowić wszystkie aktualizacje oprogramowania, które naprawiały luki w zabezpieczeniach.


Co więcej, aktualizacje Zooma nie mogą blokować zewnętrznych usprawnień dotyczących bezpieczeństwa. Firma musi też przystać na ocenę swoich programów dla poprawy bezpieczeństwa, która ma być przeprowadzona przez zewnętrzną organizację raz na dwa lata — wymaganie to będzie w mocy przez 20 lat od momentu, w którym porozumienie między FTC a Zoomem zostanie zawarte.


Podsumowanie

Wokół Zooma już od dłuższego czasu jest sporo zgiełku. Mieliśmy problem z tym że program działający na iOS wysyła Facebookowi dane użytkowników za ich plecami, a potem zaczęło wychodzić coraz więcej luk w ogólnych zabezpieczeniach Zooma. Jakiś czas temu firma wprowadziła szyfrowanie end-to-end dla wszystkich, a nie tylko dla płatnych klientów — problem tylko w tym, że Zoom twierdził, że miał end-to-end, a prawda była inna. Przez te wszystkie niedopatrzenia Zoom ma teraz przechlapane, bo ciągle ktoś mu się przygląda.
Kliknij aby rozwinąć...
info:
bulldogjob.pl
 
Musisz się zalogować lub zarejestrować aby odpowiedzieć

Podobne tematy:

Grandalf
Prawie połowa serwerów Microsoft Exchange w Polsce narażona na ataki z zewnątrz
Odpowiedzi
0
Wyświetleń
57
Grandalf
Grandalf
Grandalf
DCG Centrum Medyczne zostało zhakowane - gruby wyciek
Odpowiedzi
2
Wyświetleń
68
Grandalf
Grandalf
Grandalf
Podatność powodująca, że szyfrowanie PGP mogło zmienić temat wiadomości e-mail w Thunderbirdzie
Odpowiedzi
0
Wyświetleń
48
Grandalf
Grandalf
spamtrash
wpath.org
Odpowiedzi
0
Wyświetleń
54
spamtrash
spamtrash
OXYGEN THIEF
National Cyber Security Index
Odpowiedzi
0
Wyświetleń
56
OXYGEN THIEF
OXYGEN THIEF
Do góry