Aparentemente, o Zoom está vazando alguns endereços de e-mail, fotos de usuários e permitindo que alguns usuários iniciem uma vídeo chamada com estranhos devido a um problema de como o aplicativo lida com os contatos que ele percebe que funcionam para a mesma organização, de acordo com um relatório da Vice. Normalmente, o Zoom agrupa contatos com o mesmo domínio de email em um “Diretório da empresa” para que você possa, por exemplo, procurar uma pessoa específica, ver a foto e o email dela e iniciar uma videochamada com essa pessoa. Isso faz sentido para uma empresa com funcionários no Zoom, mas o aplicativo também agrupa algumas pessoas que se inscreveram no serviço com um email pessoal, relata o Vice. Isso significa que um usuário afetado poderá ver os endereços de e-mail pessoais e as fotos de pessoas com o mesmo domínio no diretório de empresas, mesmo que nenhuma dessas pessoas seja realmente colega. Não está claro quão difundido é esse problema ou quantos domínios podem ser afetados. Um usuário afetado compartilhou uma captura de tela com o Vice, mostrando 995 contas em seu diretório de empresas. Esse usuário também disse que encontrou o problema nos domínios xs4all.nl, dds.nl e quicknet.nl, que são todos domínios de email de ISPs holandeses. Zoom disse que colocou esses domínios na lista negra depois que o Vice chamou a atenção da empresa. “O Zoom mantém uma lista negra de domínios e regularmente identifica proativamente os domínios a serem adicionados”, disse um porta-voz do Zoom ao Vice em comunicado. O Zoom também direcionou o Vice para uma página de suporte onde os usuários podem solicitar domínios na lista negra. O zoom não agrupa “domínios usados publicamente, incluindo gmail.com, yahoo.com, hotmail.com etc.”, de acordo com um documento de suporte. O zoom não estava disponível imediatamente para comentar. O Zoom tem um histórico irregular com segurança. Em julho passado, um pesquisador de segurança descobriu que um site mal-intencionado poderia abrir uma vídeo chamada Zoom nos Macs sem a permissão do usuário. A empresa rapidamente corrigiu seu software e desinstalou um servidor da Web local que criou a vulnerabilidade. A Check Point Research publicou um relatório em janeiro sobre uma falha que permitiria que hackers espionassem as chamadas. E o Zoom confirmou hoje que suas vídeo chamadas não são realmente criptografadas de ponta a ponta, apesar do que seu site possa dizer.
O zoom está vazando alguns endereços de email pessoais e fotos do usuário
