Зв'язатися з нами

Захист даних

Zoom: на Github просочилися сумнівні практики.

ДОПОВНЕННЯ:

опублікований

on

Програма для дистанційних відеоконференцій ZOOM, яка раптово набула популярності під час пандемії, успішно витіснила традиційні програми для відеоконференцій, такі як Skype, Teams, і стала найпопулярнішим інструментом. Він має сотні мільйонів щоденних активних користувачів і навіть використовується багатьма державними установами. Однак програмне забезпечення неодноразово зазнавало витоків даних і вразливостей системи безпеки одна за одною, що привернуло широку увагу регуляторних органів.

Нещодавно, 30 травня, хтось заявив, що є старшим техніком у ZOOM опублікував репозиторій на Github, що представляє «докази» що компанія таємно зберігає інформацію про користувачів і надає її державним установам Сполучених Штатів.


Користувачі ZOOM не мають автономних даних.

За словами витоку: «Уряд США попросив Zoom зберегти цікаві дані користувачів, у тому числі ті, які вже були видалені користувачами, щоб вони могли отримати будь-які та всі дані користувачів. Щоб задовольнити такі запити, Zoom змінив свій інструмент, щоб зробити вигляд, що дані були видалені, поки щойно надаючи видаленим даним приховану властивість, таким чином зберігаючи дані користувача, змушуючи їх користувачів вважати, що дані стерто. Цей інструмент допомагає таємно копіювати та зберігати дані, історію зустрічей і деталі учасників, записи в хмарі, повідомлення чату, зображення, файли, Zuora (. Платіжна система, zuora.com), SFDC (система CRM, salesforce.com), телефон/адреса, платіжна адреса та кредитні/боргові картки через клонування та віддзеркалення даних. Що ще гірше, якщо ваш обліковий запис було додано до «Збереження даних». система з вашою появою в цільовому списку, навіть якщо ви не демонструєте жодних протиправних дій, усі ваші дії в Zoom будуть передані під безпосереднє спостереження та у вільне розпорядження правоохоронних органів."


Моніторинг користувачів через бекдор-систему (автоматизована система відстеження порушників TOS).

Згідно з розміщеним документом: "Штаб-квартира Zoom давно завершила розробку таємної системи моніторингу. Вона називається «Автоматизована система припинення відстеження порушників TOS», внутрішній IP-адреса якої — «se.zipow.com/tos». Не пізніше 2018 року система була введена в експлуатацію, відстежуючи безкоштовних користувачів, а також преміум-користувачів і корпоративних користувачів. Основними функціями системи є автоматичний пошук сприйнятливих зустрічей, вільний доступ до зустрічей без пароля або авторизації хоста просто через бекдор системи, випадковий аналіз відеоконтенту зустрічей, таємні записи відео, аудіо, скріншоти зустрічей і створення звіти або дані відповідно до наглядових департаментів США, а також припинення вразливих зустрічей і заборона відповідних облікових записів. Система є дуже конфіденційною і відкрита лише для кількох внутрішніх співробітників. Zoom може пояснити, що цю систему було розроблено для боротьби зі злочинністю, але Zoom має визнати, що система показує, що має здатність стежити за користувачами, і вже має. Люди повинні хвилюватися про те, чи не буде Zoom зловживати системою для так званої «національної безпеки» США чи бізнес-цілей, і навіть випадково, часто, нерозрізнено стежити за глобальними користувачами та викрадати їхні особисті дані у великих масштабах».


Внутрішня система керування Zoom.

Відповідно до витоку: "Внутрішня система керування Zoom має вищу владу над усіма обліковими записами Zoom. Він розроблений, щоб допомогти керувати обліковими записами користувачів Zoom. Однак ця система має деякі бекдор-функції, які можуть порушувати конфіденційність даних користувача. Деякі функції неймовірні: коли співробітник Zoom натискає кнопку «Увійти», за допомогою цих облікових даних користувача він може увійти в обліковий запис цього користувача так само, як сам користувач має справу зі своїм обліковим записом. Таким чином, працівник має однакове право працювати з обліковим записом цього користувача, перевіряючи все в обліковому записі, використовуючи особистий ключ користувача, щоб переглядати будь-які конфіденційні файли, записи зустрічей, чати миттєвих повідомлень, електронні листи, записи телефонних розмов і рахунки. Це означає, що засіб шифрування "ee2e" є безглуздим фасадом. Крім цього привілею, співробітники Zoom можуть змінювати або видаляти локальні дані користувачів і навіть віддалено контролювати або встановлювати бекдор на відносних пристроях, таких як Zoom Room, через цю систему. У порівнянні з керуванням обліковими записами користувачів за допомогою резервної бази даних ця система робить персоналом Zoom зручнішим відстежувати поведінку користувачів і отримувати їхні дані, ігноруючи заходи шифрування».


Порушення обіцянок і використання даних користувача для машинного навчання.


За словами викривача: "Ерік Юань, генеральний директор Zoom, одного разу проголосив: «Тепер ми зобов’язуємося перед усіма нашими клієнтами не використовувати жодні з їхніх аудіо- та відеочатів, вкладених файлів для спільного доступу до екрана та інших повідомлень, таких як результати опитувань, дошка та реакції, для навчання наших Моделі Al або сторонні моделі Al». Наскільки я знаю, Zoom прагне розвивати Al, оскільки компанії потрібен Al, щоб виявити нелегітимність у відеоконференціях, щоб уникнути ризику недотримання вимог, виявити шахрайських користувачів, щоб зменшити економічні втрати, а також проаналізувати бізнес-тенденції та фокус обслуговування, щоб отримати більше прибуток. За допомогою Ела Zoom під керівництвом правоохоронних органів використовує «TATVTS» проти користувачів. Згадана вище «Автоматизована система відстеження порушників TOS» може автоматично виявляти підозрілі зустрічі за допомогою машинного налаштування, приєднуватися до зустрічей без пароля та дозволу організатора, аналізувати вміст зустрічі та таємно робити знімки екрана та відео учасників і вміст зустрічі. Навчений даними, зібраними в системі, «ТАТВТС» стає більш розумним у ідентифікації зустрічей і користувачів, до яких правоохоронні органи можуть проявити інтерес. Таким чином, особисті дані багатьох невинних користувачів стають зразками для навчання моделі машинного навчання Zoom і порушують конфіденційність даних користувачів».


Проблеми конфіденційності та безпеки можуть створити серйозний ризик і завдати шкоди урядам, організаціям, окремим особам, а також комерційним таємницям у епоху цифрових технологій. Zoom, як провідне програмне забезпечення для відеоконференцій, неодноразово викривалося у витоку даних користувачів та іншої інформації. Під час епідемії Європа також посилила закони про захист даних проти гігантських американських онлайн-компаній соціальних мереж. У 2022 році ЄС і США підписали рамки конфіденційності даних. Зрозуміло, що обидві сторони повинні поважати правові рамки щодо захисту конфіденційності користувачів, особливо захисту даних. Ми також сподіваємося, що ZOOM зможе навчитися зі своїх попередніх юридичних проблем і почне серйозно ставитися до питань захисту інформації та даних.

Для додаткової інформації та технічної інформації перейдіть за посиланням нижче:
https://github.com/Alexlittle4/Zoom-violates-users-privacy

EU Reporter звернувся до Zoom для коментаря, але вони не відповіли.

Поділіться цією статтею:

EU Reporter публікує статті з різних зовнішніх джерел, які висловлюють широкий спектр точок зору. Позиції, зайняті в цих статтях, не обов’язково відповідають EU Reporter.
Кенія10 мин назад

Чи є Кенія наступним Сінгапуром?

UK16 годин тому

Розслідування того, як голоси британських емігрантів можуть пропустити вибори у Великобританії

Молдова16 годин тому

Італійський депутат: закон Молдови про голосування поштою порушує універсальність голосування та виключає багатьох молдаван за кордоном

Європейські вибори 202423 годин тому

Європейські вибори не змінили багато, але спровокували вирішальне голосування у Франції

Молдова1 день назад

Міжнародний центр захисту прав людини та демократії проведе знакову конференцію зі свобод у Кишиневі, Молдова

Ємен1 день назад

Ємен: триваюча гуманітарна криза – забута, але невирішена

Казахстан2 днів тому

Зміцнення зв'язків: стан відносин між ЄС та Казахстаном

Казахстан2 днів тому

Напад на казахстанського журналіста в Києві: Токаєв наказав направити запити українській владі

Тенденції