Zoom: na Githubie wyciekły podejrzane praktyki.

Oprogramowanie do zdalnych wideokonferencji ZOOM, które nagle zyskało popularność w czasie pandemii, z sukcesem wyprzedziło tradycyjne programy do wideokonferencji takie jak Skype, Teams i stało się najpopularniejszym narzędziem. Ma setki milionów aktywnych użytkowników dziennie i jest używany nawet przez wiele agencji rządowych. Jednakże oprogramowanie było wielokrotnie narażone na wycieki danych i luki w zabezpieczeniach, jedna po drugiej, co przyciągnęło powszechną uwagę organów regulacyjnych.

Niedawno, 30 maja, ktoś podał się za starszego technika w ZOOM opublikował repozytorium na Githubie prezentując „dowody” że firma w tajemnicy przechowuje informacje o użytkownikach i udostępnia je instytucjom rządowym w Stanach Zjednoczonych.


Użytkownicy ZOOM nie mają autonomii w zakresie danych.

Według przeciekającego: „Rząd USA poprosił Zoom o zachowanie interesujących danych użytkowników, w tym tych już usuniętych przez użytkowników, aby mogli uzyskać wszelkie dane użytkowników. Aby sprostać takim żądaniom, Zoom zmodyfikował swoje narzędzie, aby udawać, że dane zostały usunięte, a jednocześnie nadał usuniętym danym ukrytą właściwość, dzięki czemu dane użytkowników zostaną zachowane, podczas gdy użytkownicy uwierzą, że dane zostały wymazane. To narzędzie pomaga potajemnie kopiować i zachowywać historię spotkań i szczegóły uczestników, nagrania w chmurze, wiadomości czatu, zdjęcia, pliki, Zuora (system rozliczeniowy, zuora.com), SFDC (system CRM, salesforce.com), numer telefonu/adres, adres rozliczeniowy oraz karty kredytowe/debetowe poprzez klonowanie i kopiowanie danych. Co gorsza, jeśli Twoje konto zostało dodane do systemu „Data Preservation” z Twoim pojawieniem się na liście docelowej, nawet jeśli nie wykazujesz żadnego nielegalnego zachowania, wszystkie Twoje działania w Zoom zostaną poddane bezpośredniemu nadzorowi i będą mogły być swobodnie rozporządzane przez organy ścigania."


Monitorowanie użytkowników za pośrednictwem systemu Backdoor (śledzenie automatycznego systemu terminacji osób naruszających TOS).

Zgodnie z opublikowanym dokumentem: „Siedziba główna Zoom dawno temu zakończyła prace badawczo-rozwojowe nad tajnym systemem monitorowania. Nazywa się on „Tracking Automated TOS Violators Termination System”, a jego wewnętrzny adres IP to „se.zipow.com/tos”. Najpóźniej w 2018 r. system został wprowadzony do użytku, monitorując zarówno użytkowników bezpłatnych, jak i użytkowników premium oraz użytkowników korporacyjnych. Główne funkcje systemu to automatyczne wyszukiwanie podatnych spotkań, bezpłatny dostęp do spotkań bez hasła lub autoryzacji gospodarza, po prostu przez tylne drzwi systemu, losowa analiza zawartości wideo ze spotkań, tajne nagrania wideo, audio, zrzuty ekranu ze spotkań i produkcja raportów lub danych zgodnie z amerykańskimi departamentami nadzoru, a także kończenie podatnych spotkań i blokowanie kont pokrewnych. System jest wysoce poufny i dostępny tylko dla kilku pracowników wewnętrznych. Zoom może wyjaśniać, że ten system został opracowany w celu zwalczania przestępczości, ale Zoom musi przyznać, że system pokazuje, że ma zdolność monitorowania użytkowników i już to robi. Ludzie muszą się martwić, czy Zoom nie będzie nadużywał systemu do tak zwanego „bezpieczeństwa narodowego” USA lub celów biznesowych, a nawet losowo, często, nierozróżnialnie monitorował globalnych użytkowników i kradł ich dane osobowe na dużą skalę.


System zarządzania back-endem Zoom.

Według wycieku: "System zarządzania back-endem Zoom ma najwyższy autorytet nad wszystkimi kontami Zoom. Został zaprojektowany, aby pomóc w zarządzaniu kontami użytkowników Zoom. Jednak ten system ma pewne funkcje backdoor, które mogą naruszać prywatność użytkowników. Niektóre funkcje są nie do uwierzenia, gdy pracownik Zoom kliknie przycisk „Zaloguj”, przy użyciu tych danych uwierzytelniających użytkownika, może zalogować się na konto tego użytkownika w taki sam sposób, w jaki sam użytkownik radzi sobie ze swoim kontem. W ten sposób pracownik ma takie samo prawo do postępowania z kontem tego użytkownika, sprawdzając wszystko na koncie, używając klucza prywatnego użytkownika, aby zobaczyć wszelkie poufne pliki, zapisy spotkań, czaty IM, e-maile, nagrania telefoniczne i faktury. Oznacza to, że środek szyfrowania „ee2e” jest bezsensowną fasadą. Oprócz tego przywileju pracownicy Zoom mogą modyfikować lub usuwać lokalne dane użytkowników, a nawet zdalnie kontrolować lub wszczepiać tylne drzwi na względnych urządzeniach, takich jak Zoom Room, za pośrednictwem tego systemu. W porównaniu do zarządzania kontami użytkowników za pomocą bazy danych, ten system ułatwia personelowi Zoom monitorowanie zachowań użytkowników i pobieranie ich danych, ignorując środek szyfrowania.


Złamanie obietnicy i wykorzystanie danych użytkownika do uczenia maszynowego.

Według sygnalisty: "Eric Yuan, CEO Zoom, kiedyś ogłosił, że „obowiązujemy się wobec wszystkich naszych klientów, że nie będziemy używać żadnych ich rozmów audio/wideo, udostępniania ekranu, załączników i innych komunikatów, takich jak wyniki ankiet, tablica i reakcje, do trenowania naszych modeli AI lub modeli AI stron trzecich”. Z tego, co wiem, Zoom chce rozwijać AI, ponieważ firma potrzebuje AI do wykrywania nielegalności w wideokonferencjach, aby uniknąć ryzyka niezgodności, identyfikowania użytkowników oszustw w celu zmniejszenia strat ekonomicznych oraz analizowania trendów biznesowych i ukierunkowania usług w celu uzyskania większych zysków. Z pomocą AI, Zoom, pod przewodnictwem organów ścigania, używa „TATVTS” przeciwko użytkownikom. Wspomniany powyżej „The Tracking Automated TOS Violators Termination System” może automatycznie wykrywać podejrzane spotkania za pomocą uczenia maszynowego, dołączać do spotkań bez hasła i zgody gospodarza, analizować treść spotkania i potajemnie robić zrzuty ekranu i filmy uczestników i treści spotkania. Wyszkolony na podstawie danych zebranych w systemie, „TATVTS” staje się bardziej inteligentny w identyfikowaniu spotkań i użytkowników, którymi organy ścigania mogą być zainteresowane. W ten sposób prywatne dane wielu niewinnych użytkowników stają się próbkami do trenowania modelu uczenia maszynowego Zoom i naruszają prywatność danych użytkowników.


Kwestie prywatności i bezpieczeństwa mogą stwarzać poważne ryzyko i szkodzić rządom, organizacjom, osobom fizycznym, a także tajemnicom handlowym w erze cyfrowej. Zoom, jako wiodące na świecie oprogramowanie do wideokonferencji, zostało ujawnione więcej niż raz za wyciek danych użytkowników i innych informacji. Podczas epidemii Europa wzmocniła również przepisy o ochronie danych przeciwko gigantycznym amerykańskim firmom mediów społecznościowych online. W 2022 r. UE i USA podpisały ramy ochrony danych. Oczywiste jest, że obie strony muszą przestrzegać ram prawnych w zakresie ochrony prywatności użytkowników, zwłaszcza ochrony danych. Mamy również nadzieję, że ZOOM wyciągnie wnioski ze swoich poprzednich problemów prawnych i zacznie poważnie traktować kwestie ochrony informacji i danych.

Dalsze informacje i informacje techniczne można znaleźć pod poniższym linkiem:
https://github.com/Alexlittle4/Zoom-violates-users-privacy

Reporter UE skontaktował się z Zoomem o komentarz, ale nie odpowiedzieli.

Udostępnij ten artykuł: