Problem dotyczył ustawień zakładki “Company Directory”, która automatycznie dodaje inne osoby do listy kontaktów użytkownika, jeśli mają adres e-mail w tej samej domenie. Celem tej funkcji jest ułatwienie odnajdywania konkretnych współpracowników, jednak ostatnio “coś” spowodowało, że w katalogach wielu użytkowników pojawiły się całkiem przypadkowe kontakty.
Problem nagłośnił Barend Gehrels, w którego aplikacji pojawiło się 995 kontaktów do zupełnie nieznanych mu osób, a jako dowód opublikował zrzut ekranu.
“Jeśli zarejestrujesz się do Zoom z niestandardowym dostawcą poczty (nie takim jak Gmail, Hotmail, Yahoo, itp.), to masz wgląd do WSZYSTKICH subskrybowanych użytkowników tego dostawcy: ich pełne nazwiska, ich adresy pocztowe, ich zdjęcie profilowe (jeśli mają) i ich status. I możesz do nich zadzwonić na wideo” – powiedział Gehrels.
Na swojej stronie internetowej, przedstawiciele Zoom piszą: “Domyślnie katalog kontaktów Zoom zawiera wewnętrznych użytkowników w tej samej organizacji, którzy są zalogowani na tym samym koncie lub których adres e-mail używa tej samej domeny, co twój (z wyjątkiem publicznie używanych domen, w tym gmail.com, yahoo.com, hotmail.com, itp.)”.
System Zoom nie wyłącza jednak wszystkich domen, z których korzystają prywatni użytkownicy. Gehrels powiedział, że napotkał problem z domenami xs4all.nl, dds.nl i quicknet.nl. Wszystkie te firmy to holenderscy dostawcy usług internetowych (ISP), którzy oferują również usługi poczty elektronicznej.
Na Twitterze szybko pojawiły się opisy innych przypadków holenderskich użytkowników zgłaszających ten sam problem.
“Właśnie przyjrzałem się bezpłatnej wersji Zoom na prywatny użytek i zarejestrowałem się za pomocą mojej prywatnej poczty elektronicznej. Właśnie otrzymałem dostęp do 1000 nazwisk, adresów e-mailowych, a nawet zdjęć ludzi. Czy to celowe?” – napisał jeden z użytkowników, na co dostał odpowiedź od XS4ALL, jednego z holenderskich dostawców usług internetowych, z którego domen również wyciekły dane: “To jest coś, czego my nie możemy wyłączyć. Możesz zobaczyć, czy Zoom ci w tym pomoże.”
Co na to sama firma? Rzecznik prasowy nie był zbyt wylewny w swoim komunikacie:
“Zoom prowadzi czarną listę domen i regularnie oraz proaktywnie identyfikuje domeny, które powinny się na niej znaleźć”, sugerując, że problematyczne holenderskie domeny właśnie na niej wylądowały. Wskazał również na sekcję strony internetowej Zoom, gdzie użytkownicy mogą zażądać usunięcia innych domen z katalogu.
To nie pierwsze naruszenie anonimowości użytkowników aplikacji – całkiem niedawno było głośno o tym, że aplikacja podglądała użytkowników nawet wtedy, gdy jej nie używali. W zeszłym tygodniu za to Zoom musiał zaktualizować wersję swojej aplikacji na iOS po tym, jak okazało się, że wysyła one dane analityczne na Facebook. Natomiast, w związku z obecną sytuacją, w poniedziałek złożono przeciwko firmie pozew zbiorowy dotyczący wspomnianego wycieku danych. Tego samego dnia Prokurator Generalny Nowego Jorku wysłał do firmy Zoom list z pytaniem, jakie środki bezpieczeństwa wprowadziła w związku z rosnącą popularnością aplikacji w dobie przymusowej pracy zdalnej. Odpowiedź jeszcze nie padła.