Zoom — главное приложение эпохи пандемии. Но утечки и проблемы с безопасностью сделали его самым противоречивым
Сервис позволил удобно и бесплатно поддерживать связь во времена карантина, но популярность обернулась «катастрофой» в сфере защиты личных данных.
Во времена пандемии коронавируса видеочат Zoom привлёк всеобщее внимание — сначала школьников и студентов, которые перешли на онлайн-обучение в сервисе, а потом и всего мира. Платформа позволяет легко, быстро и бесплатно общаться с близкими, проводить онлайн-уроки, устраивать виртуальные вечеринки или свадьбы.
Однако с популярностью пришли серьёзные проблемы. Небольшой китайский стартап, изначально создававший продукт для корпоративных клиентов, не был готов к огромному притоку новых пользователей. Злоумышленники срывают конференции с помощью трансляции порно, в Facebook и даркнет утекают личные данные пользователей, а записи звонков появляются в открытом доступе. Эксперты тем временем находят всё новые уязвимости.
Zoom столкнулся с критикой СМИ и специалистов кибербезопасности, запросами ФБР и сенаторов, исками пользователей и акционеров. Теперь компания рискует стать жертвой собственного успеха, пока ищет баланс между удобством приложения и сохранением личных данных пользователей.
Zoom до пандемии — платформа для корпоративных видеоконференций
В 2011 году Zoom создал бывший вице-президент Cisco по разработке программного обеспечения для совместной работы Эрик Юань (Eric Yuan). Изначально Zoom Video Communications заключала сделки с корпоративными клиентами, позволяя работодателям проводить удалённые собеседования, а сотрудникам — общаться между собой. В 2014 году количество пользователей выросло до 10 миллионов, а на сервис подписалось около 20 тысяч организаций.
Компания продолжила работать с коммерческими клиентами — создала платформу для приёма пациентов онлайн, а также объединилась с Polycom для интеграции в Zoom функций совместного использования экрана и доступа к конференции с разных устройств. В апреле 2019 года Zoom стала публичной, её акции выросли более чем на 72%. Тогда компанию оценили в 16 миллиардов долларов.
Ещё до всемирного успеха Zoom столкнулся с проблемами безопасности. В июле 2019 года исследователь Джонатан Лейтшух раскрыл уязвимость, которая позволяла любому сайту принудительно присоединять пользователя macOS к звонку Zoom с активированной веб-камерой. Если попытаться удалить клиент приложения в macOS, то оно автоматически переустанавливалось в фоновом режиме, используя скрытый веб-сервер. Apple вмешалась в ситуацию, чтобы защитить пользователей, и Zoom исправил проблему.
В конце 2019 года эксперты по кибербезопасности обнаружили, что коды конференций (Meeting ID) не защищены шифрованием. Исследователи из стартапа Cequence создали бота, который перебирал коды и, таким образом, мог подключаться к звонкам. Через API сервиса они автоматизировали процесс. В Zoom заявили, что «не знают» о случаях эксплуатации уязвимости, но пообещали улучшить защиту серверов от атак ботов.
Zoom во время пандемии — видеочат для всех
В начале марта ВОЗ объявила мировую пандемию коронавируса Covid-19. В части стран ввели карантин, а в других посоветовали придерживаться режима самоизоляции и социального дистанцирования. На фоне коронавируса обучение, работа и социальные связи вынужденно перешли в онлайн. Выбор большинства пользователей пал на Zoom.
В течение месяца трафик Zoom.us вырос на 535%, а приложение для iOS стало самым скачиваемым в App Store. Акции компании удвоились в цене с начала пандемии.
Такой приток трафика отчасти объясняется тем, что Юань предоставил бесплатный доступ к сервису школам и университетам — для учащихся сняли лимит на продолжительность звонка. Тысячи образовательных учреждений стали проводить онлайн-занятия в Zoom.
А школьники используют сервис не только на уроках, но и на переменах, свиданиях и вечеринках. Студенты в шутку жалуются, что все теперь ходят в «Университет Zoom» — одно и то же учреждение, но с очень разными ценами. Учащиеся превратили сервис в мем и иронизируют над тем, что наконец-то поняли, что означает буква Z в термине «Поколение Z».
Но почему именно Zoom, а не Skype, Google Hangouts, FaceTime или Microsoft Teams? В The Verge объясняют популярность сервиса простотой использования и бесплатным планом с широкой функциональностью. В базовой версии доступны 40-минутные видеоконференции, к которым может присоединиться до пятидесяти человек. Регистрация требуется только от создателя комнаты — остальным достаточно пройти по ссылке или ввести случайно сгенерированный из 9-11 цифр код конференции. Встречи можно планировать и уведомлять участников заранее.
Интерфейс Zoom более интуитивный, чем у конкурентов. В Skype есть похожая функция с длинным и сложным паролем, о существовании которой многие даже не знают. FaceTime требует AppleID. В Google Hangouts всем участникам нужна регистрация. В Zoom же не обязательно настраивать профиль, добавлять фото или вручную искать пользователей.
В сервисе есть и знакомые по соцсетям функции. Например, кнопка «Подправить мой внешний вид» в настройках видео разглаживает кожу лица по тому же принципу, что и фильтры Инстаграма.
В корпоративном сегменте уже давно использовали Zoom, а студентам и школьникам, которые отвергают «старые технологии» вроде Skype, сервис кажется «крутым брендом». Вслед за ними платформа привлекла и других пользователей, которые хотят легко и бесплатно поддерживать связь с близкими. «Мы все живём в Zoom», — написала The New York Times.
Виртуальные фоны как «бесплатная» реклама Zoom
Особенно популярной функцией стал «Виртуальной фон», с помощью которого можно спрятать бардак в комнате или поместить себя в мем. На фон можно ставить любые картинки, фото и гифки, поэтому они дали возможность каждому проявить индивидуальность.
Многие узнали о сервисе из соцсетей, где виртуальные фоны стали своеобразной «бесплатной рекламой» Zoom. Пользователи делятся забавными ситуациями и идеями для фонов, которые быстро распространяются в соцсетях и СМИ.
В соцсетях также стали активно делиться мемными и поп-культурными фонами. К пользователям присоединись бренды и СМИ — Netflix собирает картинки из своих сериалов, IKEA предлагает спрятать свою квартиру за фирменным интерьером, а Disney запустил тред с кадрами из мультфильмов Pixar. «Бумага» предлагает установить на фон петербургские пейзажи, а Cosmopolitan – обложки журналов.
Не просто видеочат, а бар, фитнес-зал, студия или церковь
В эпоху пандемии Zoom позволил поддерживать любые социальные контакты. В сервисе проводят не только рабочие встречи и онлайн-уроки, но и свидания, вечеринки в клубах, занятия йогой, свадьбы, встречи анонимных алкоголиков, группы поддержки ЛГБТ, религиозные собрания, диджей-сеты, приёмы пациентов, встречи книжных клубов или уроки медитации.
В Zoom перенесли официальные встречи представителей государственных органов. Например, премьер-министр Великобритании Борис Джонсон провёл заседание правительства в сервисе. Власти города Каламазу (штат Мичиган) тоже объявили о встречах на платформе.
В видеочате уже снимают клипы, эпизоды сериалов и веб-шоу. Американская группа Thao & The Get Down Stay Down планировала съёмки клипа, но они сорвались из-за пандемии — для записи видео они воспользовались Zoom. CBS объявил, что отправил в производство «виртуальную» серию проекта «Всем встать» (All Rise), посвящённую социальному дистанцированию. Всех актёров снимут через FaceTime, WebEx и Zoom из их домов. А на Джон Красински пригласил на своё YouTube-шоу оригинальный актёрский состав мюзикла «Гамильтон» и записал совместное исполнение заглавной песни в Zoom.
Первая серьёзная проблема — зумбомбинг
Простота использования Zoom способствовала зумбомбингу (zoombombing) — явлению, когда пользователи присоединяются к чужим конференциям без ведома участников. По умолчанию все конференции — публичные. Это значит, что любой участник может поделиться кодом без разрешения создателя трансляции, а любой человек может присоединиться. Чтобы сделать трансляцию приватной, нужно либо установить пароль, либо создать комнату ожидания и вручную одобрять или отклонять гостей.
Зумбомбингом первыми занялись школьники — они делились друг с другом кодами и «вырывались» на чужие трансляции в попытках разыграть учителей или сорвать урок. Поначалу шутки были невинными — например, школьница набрала популярность в TikTok благодаря роликам, где она подключалась к чужим урокам, а когда учитель спрашивал, кто она такая, то та отвечала, что просто хочет учиться.
Однако зумбомбинг неизбежно превратился в способ кибербуллинга. Пользователи подключаются к чужим конференциям, чтобы транслировать в них порно, оскорбительные ролики или угрозы. Например, звонок совета старост в школе Флориды прервали с помощью трансляции свастик и порнографии. Во время защиты диплома студента Государственного калифорнийского университета злоумышленники писали на экране расистские слова. Профессор Принстонского университета пожаловался на то, что кто-то во время чтения сказок для детей вывел на экран картинку с «пухлым белым мужчиной в стрингах, из которых выпадали гениталии».
После нескольких случаев зумбомбинга в массачусетских школах ФБР предупредило о том, что на приложение часто жалуются «из-за прерывания трансляций с помощью порнографического контента, разжигающих ненависть иллюстраций и угроз». Бюро посоветовало не создавать публичные конференции, не публиковать ссылки на них в соцсетях и запретить использовать функцию совместного использования экрана всем, кроме создателя чата.
После этого учебные заведения стали отказываться от сервиса — все школы Нью-Йорка запретили пользоваться платформой. Норвежская школа перестала использовать Zoom после того, как на закрытом онлайн-уроке появился голый мужчина. Судя по всему, он перебирал коды доступа к трансляциям и случайно попал в комнату с детьми. В ответ на критику Zoom сделал функцию совместного использования экрана доступной только создателю конференции для образовательных аккаунтов по умолчанию.
Зумбомбинг вскоре вышел за пределы онлайн-обучения. На собрании анонимных алкоголиков злоумышленники транслировали гифки с пьющими людьми, а также расистские и сексистские сообщения. На встрече прихожан синагоги показали расистские символы — в конференцию с 200 участниками, среди которых были дети, добавилось около 40 зумбомберов. Раввин не понимал, что происходит: до того, как он успел исключить злоумышленников из чата, многие прихожане выключили звонок.
Журналисты The New York Times обнаружили 14 чатов в Discord, 153 Инстаграм-аккаунтов, десяток профилей в Твиттере, несколько активных сабреддитов на Reddit и досок на 4Chan, где пользователи целенаправлено ищут коды конференций, чтобы совместно организовывать травлю. Школьники сами делятся ссылками на свои онлайн-классы, чтобы их занятия срывали. Поскольку создатель чата может удалять участников, организаторы атак направляют по нескольких пользователей в один звонок или заходят туда под разными никами.
Другие злоумышленники, вероятно, используют брутфорс. Так эксперт по кибербезопасности Брайан Кребс создал программу, которая автоматически угадывает коды доступа к конференциям в Zoom. За час он получил доступ к 100 трансляциям, а за день просканировал информацию об около 2400 чатах. При этом защищённые паролем комнаты программа обнаружить не может. В Zoom снова порекомендовали делать конференции приватными.
Зумбомберы загружают захваченные с экрана видео на YouTube и Twitch. Журналисты The New York Times обнаружили шестичасовой ролик, где пользователь зумбомбит десятки конференций анонимных алкоголиков. В другом ролике, набравшем 4,2 миллиона просмотров, срывали онлайн-уроки и породили подражателей. После того, как представители издания обратились к YouTube, в сервисе заявили, что удалили ролики. Однако TJ обнаружил видео с зумбомбингом онлайн-уроков.
В министерстве юстиции США заявили, что зумбомбинг, сопровождающийся вторжением в частную жизнь и трансляцией порно или другого незаконного контента, может быть расценен как федеральное преступление, которое влечет ответственность в виде штрафа или лишения свободы.
Передача данных в Фейсбук, утечки, сомнительные функции и отсутствие сквозного шифрования
Зумбомбинг — это только часть проблем с безопасностью Zoom. В конце марта издание Vice выяснило, что iOS-приложение передаёт данные Facebook, даже если пользователь сервиса не имеет аккаунта в соцсети. После загрузки приложение Zoom автоматически подключается к Graph API, основному способу чтения и записи данных в Фейсбуке. Без ведома пользователя приложение передаёт Facebook данные о модели устройства, часовом поясе, городе, из которого происходит соединение, и уникальном идентификаторе, которые компании используют для таргетированной рекламы.
Спустя два дня Zoom обновил iOS-приложение и заявил, что перестал передавать информацию в Facebook. В Vice проверили обновление и подтвердили отсутствие передачи данных. Однако против компании уже подали коллективный иск из-за неспособности Zoom защитить личную информацию пользователей.
Исследователи The Intercept выяснили, что Zoom не использует сквозное шифрование, хотя компания утверждает в документах обратное. Вместо этого в сервисе используют протокол TLS, который обеспечивает защищённую передачу данных между узлами HTTPS-сайтов. Это значит, что данные зашифрованы между пользователем и сервером, тогда как при сквозном шифровании они передаются между пользователями напрямую. В Zoom заявили, что не обманывают пользователей: «Когда мы пишем „сквозной”, мы имеем в виду, что связь зашифрована между конечными точками. Контент не расшифровывается, пока передаётся через облако Zoom».
Тогда же генеральный прокурор Нью-Йорка направил в Zoom письмо с просьбой описать, какие меры по кибербезопасности компания приняла с тех пор, как приложение набрало широкую популярность. Кабинет прокурора спросил, какие данные о пользователях приложение собирает и зачем, а также следует ли компания закону при сборе данных о несовершеннолетних. Сенатор США Эд Марки направил письмо в Федеральную торговую комиссию с просьбой начать расследование против Zoom. К нему присоединился сенатор-демократ Ричард Блументал.
1 апреля Vice узнало, что Zoom передаёт незнакомцам личную информацию пользователей, включая адрес электронной почты, имя и фото. Проблема заключается в том, что сервис автоматически добавляет в список контактов пользователей с адресами электронной почты с одного и того же домена.
«Ведомости» убедились в том, что алгоритм работает с ошибками — после регистрации в Zoom с помощью почты @yandex.kz (домен для Казахстана) стали доступны данные 999 других пользователей с почтой на @yandex.kz, включая имена и номера телефонов. В Zoom заявили, что знают о проблеме и «постоянно добавляют публично доступные домены в чёрный список». Изначально эту функцию вводили для корпоративных пользователей с адресами электронной почты с домена одной компании. Отказываться от неё в Zoom не стали.
2 апреля The New York Times обнаружили в Zoom функцию, которая автоматически и без согласия подключала аккаунты пользователей к их профилям из LinkedIn. Подписчики сервиса LinkedIn Sales Navigator получили доступ к профилям пользователей в Zoom. Хотя раньше в компании называли эту функцию «невероятно ценной», её убрали после жалобы журналистов.
3 апреля компания Citizen Lab обнаружила, что Zoom передаёт ключи шифрования через китайский сервер, даже если участники конференции находятся в другой стране. Юань заявил, что такое происходит в небольшом количестве случаев. Однако эксперты беспокоятся, что такая передача данных делает сервис уязвимым.
Исследователи в области кибербезопасности стали называть сервис «катастрофой в сфере защиты личных данных» и «принципиально испорченной» платформой. В соцсетях периодически обнаруживают новые уязвимости безопасности — например о том, что компания использует сомнительную схему установки на macOS, такую же как вредоносные программы.
После обвинений в нарушении приватности пользователей в Zoom заявили, что не будут добавлять новый функционал в течение 90 дней, чтобы сфокусироваться на проблемах безопасности. Глава компании признал, что платформа была не готова к такому притоку пользователей.
Однако поток новых уязвимостей не остановился. 4 апреля The Washington Post обнаружил тысячи трансляций в открытом доступе — их пользователи записывали сами и сохраняли на серверы Zoom. Они не знали, что видео сохраняются незащищёнными. Среди роликов оказались как деловые встречи и онлайн-уроки, так и личные беседы и эротические ролики.
7 апреля занимающаяся кибербезопасностью компания Sixgill обнаружила в даркнете данные о 352 аккаунтах с привязанными адресами электронной почты, кодами доступа и именами пользователей. Некоторые аккаунты были личными, а другие принадлежали образовательным организациям и частным компаниям. Эксперты предположили, что данные выложили для зумбомбинга или хищения личных данных.
Тогда от сервиса стали отказываться не только образовательные учреждения. Правительство Тайваня, министерство иностранных дел Германии, SpaceX, NASA и Google запретили своим сотрудникам пользоваться Zoom для рабочих встреч. Дошло до того, что акционеры подали иск против компании, обвинив руководство в сокрытии правды о шифровании и уязвимостях для взломов, а также в несанкционированной передаче личной информации третьим лицам, включая Facebook.
Жалобы СМИ, интерес со стороны властей и иски заставили компанию начать принимать более глобальные меры. Компания ужесточила политику конфиденциальности. С 5 апреля для присоединения к любой конференции Zoom требует не только код конференции, но и пароль к ней. По умолчанию создатель чата будет одобрять или отклонять новых участников, которые окажутся в комнате ожидания. Компания также скрыла с главного экрана код конференции — теперь если сделать скриншот звонка, то его не будет видно.
Zoom нанял в качестве советника по информационной безопасности Алекса Стэймоса, который работал в Facebook, но ушёл из компании после скандала с Cambridge Analytica.
Во времена глобального кризиса Zoom стал важным связующим звеном между коллегами, семьями, друзьями и, самое главное, учителями и учениками. Это привело к проблемам с приватностью, доверием и безопасностью, с которыми ещё ни одна компания не сталкивалась.
Комментировать статьи на сайте возможно только в течении 90 дней со дня публикации.