В Zoom есть удобная опция — записать конференцию. Запись можно сохранить в облачном хранилище сервиса, а можно скачать. Только есть одна проблема — программа автоматически именует файлы видеозаписей по определённому шаблону. Зная этот шаблон, можно попробовать угадать имена чужих файлов и поискать их на видеохостингах и в облачных хранилищах.
Собственно, так и сделал один исследователь безопасности — и нашёл в открытом доступе тысячи записей Zoom-конференций, о чём рассказал Washington Post.
Журналистам удалось найти некоторых людей с этих записей — они не в курсе, как видео попали в открытый доступ. В связи с подобными провалами в Zoom недавно пообещали не внедрять новых фич, пока не залатают все дыры в безопасности. Исправить эту дыру, кстати, довольно просто — достаточно сделать так, чтобы пользователь сам создавал имя файла, сохраняя запись.
Videos included one-on-one therapy sessions; a training orientation for workers doing telehealth calls that included people’s names and phone numbers; small-business meetings that included private company financial statements; and elementary school classes, in which children’s faces, voices and personal details were exposed. Many of the videos include personally identifiable information and deeply intimate conversations, recorded in people’s homes. Other videos include nudity, such as one in which an aesthetician teaches students how to give a Brazilian wax.
В Zoom есть удобная опция — записать конференцию. Запись можно сохранить в облачном хранилище сервиса, а можно скачать. Только есть одна проблема — программа автоматически именует файлы видеозаписей по определённому шаблону. Зная этот шаблон, можно попробовать угадать имена чужих файлов и поискать их на видеохостингах и в облачных хранилищах.
Собственно, так и сделал один исследователь безопасности — и нашёл в открытом доступе тысячи записей Zoom-конференций, о чём рассказал Washington Post.
Журналистам удалось найти некоторых людей с этих записей — они не в курсе, как видео попали в открытый доступ. В связи с подобными провалами в Zoom недавно пообещали не внедрять новых фич, пока не залатают все дыры в безопасности. Исправить эту дыру, кстати, довольно просто — достаточно сделать так, чтобы пользователь сам создавал имя файла, сохраняя запись.
Videos included one-on-one therapy sessions; a training orientation for workers doing telehealth calls that included people’s names and phone numbers; small-business meetings that included private company financial statements; and elementary school classes, in which children’s faces, voices and personal details were exposed. Many of the videos include personally identifiable information and deeply intimate conversations, recorded in people’s homes. Other videos include nudity, such as one in which an aesthetician teaches students how to give a Brazilian wax.