Aparentemente, o Zoom está vazando alguns endereços de e-mail, fotos de usuários e permitindo que alguns usuários iniciem uma vídeo chamada com estranhos por causa de um problema com o modo como o aplicativo lida com os contatos que ele percebe que funcionam para a mesma organização, de acordo com um relatório da Vice .
Normalmente, o Zoom agrupa contatos com o mesmo domínio de email em um ” Diretório da empresa ” para que você possa, por exemplo, procurar uma pessoa específica, ver a foto e o email dela e iniciar uma videochamada com essa pessoa. Isso faz sentido para uma empresa com funcionários no Zoom, mas o aplicativo também agrupa algumas pessoas que se inscreveram no serviço com um email pessoal, relata o Vice. Isso significa que um usuário afetado poderá ver os endereços de e-mail pessoais e as fotos de pessoas com o mesmo domínio no diretório de empresas, mesmo que nenhuma dessas pessoas seja realmente colega.
Não está claro quão difundido é esse problema ou quantos domínios podem ser afetados. Um usuário afetado compartilhou uma captura de tela com o Vice, mostrando 995 contas em seu diretório de empresas. Esse usuário também disse que encontrou o problema nos domínios xs4all.nl, dds.nl e quicknet.nl, que são todos domínios de email de ISPs holandeses. A Zoom disse que colocou esses domínios na lista negra depois que o Vice chamou a atenção da empresa.
“O Zoom mantém uma lista negra de domínios e regularmente identifica proativamente os domínios a serem adicionados”, disse um porta-voz do Zoom a Vice em comunicado. O Zoom também direcionou o Vice para uma página de suporte onde os usuários podem solicitar domínios na lista negra. O zoom não agrupa “domínios usados publicamente, incluindo gmail.com, yahoo.com, hotmail.com etc.”, de acordo com um documento de suporte. O zoom não estava disponível imediatamente para comentar.
O Zoom tem um histórico irregular com segurança. Em julho passado, um pesquisador de segurança descobriu que um site mal-intencionado poderia abrir uma vídeo chamada nos computadores Macs sem a permissão do usuário. A empresa rapidamente corrigiu seu software e desinstalou um servidor da Web local que criou a vulnerabilidade. A Check Point Research publicou um relatório em janeiro sobre uma falha que permitiria que hackers espionassem as chamadas. E a empresa confirmou hoje que suas vídeo chamadas não são realmente criptografadas de ponta a ponta, apesar do que seu site possa dizer.
Uma maneira de evitar invasões por causa desses vazamentos é trocar a senha da conta do anfitrião com certa regularidade.
Levando em conta que os endereços de e-mail foram vazados mas não as senhas, recomenda-se que se troque a senha do anfitrião a cada poucos dias para evitar a captura e roubo da conta.
Lembrando que nos últimos dias eletambém tem sofrido ataques em suas reuniões, o famoso Zoom Bombing.
Saiba como deixar suas reuniões do Zoom mais seguras.