Aparentemente, o Zoom está vazando alguns endereços de e-mail, fotos de usuários e permitindo que alguns usuários iniciem uma vídeo chamada com estranhos por causa de um problema de como o aplicativo lida com contatos que, segundo ele, funcionam para a mesma organização, segundo um relatório da Vice.

Normalmente, o Zoom agrupa contatos com o mesmo domínio de email em um “Diretório da empresa” para que você possa, por exemplo, procurar uma pessoa específica, ver a foto e o email dela e iniciar uma videochamada com essa pessoa. Isso faz sentido para uma empresa com funcionários no Zoom, mas o aplicativo também agrupa algumas pessoas que se inscreveram no serviço com um email pessoal, informa Vice. Isso significa que um usuário afetado poderá ver os endereços de e-mail pessoais e as fotos de pessoas com o mesmo domínio no diretório de empresas, mesmo que nenhuma dessas pessoas seja realmente colega.

Não está claro quão difundido é esse problema ou quantos domínios podem ser afetados. Um usuário afetado compartilhou uma captura de tela com Vice mostrando 995 contas em seu diretório de empresas. Esse usuário também disse que encontrou o problema nos domínios xs4all.nl, dds.nl e quicknet.nl, que são todos domínios de email de ISPs holandeses. Zoom disse que colocou esses domínios na lista negra depois Vice chamou a atenção da empresa.

“O Zoom mantém uma lista negra de domínios e regularmente identifica proativamente os domínios a serem adicionados”, disse um porta-voz da Zoom. Vice em um comunicado. Zoom também dirigido Vice para uma página de suporte onde os usuários podem solicitar a inclusão de domínios na lista negra. O zoom não agrupa “domínios usados ​​publicamente, incluindo gmail.com, yahoo.com, hotmail.com etc.”, de acordo com um documento de suporte. O zoom não estava disponível imediatamente para comentar.

O Zoom tem um histórico irregular com segurança. Em julho passado, um pesquisador de segurança descobriu que um site mal-intencionado poderia abrir uma vídeo chamada Zoom nos Macs sem a permissão do usuário. A empresa rapidamente corrigiu seu software e desinstalou um servidor da Web local que criou a vulnerabilidade. A Check Point Research publicou um relatório em janeiro sobre uma falha que permitiria que hackers espionassem as chamadas. E o Zoom confirmou hoje que suas vídeo chamadas não são realmente criptografadas de ponta a ponta, apesar do que seu site possa dizer.



Fonte