Para al menos unos pocos miles de personas, Zoom ha tratado sus direcciones de correo electrónico personales como si pertenecieran a la misma compañía, permitiéndoles que se realicen videollamadas.
La popular videoconferencia Zoom está filtrando información personal de al menos miles de usuarios, incluida su dirección de correo electrónico y foto, y brinda a los extraños la posibilidad de intentar iniciar una videollamada con ellos a través de Zoom.
El problema radica en la configuración del “Directorio de empresas” de Zoom, que agrega automáticamente a otras personas a las listas de contactos de un usuario si se registraron con una dirección de correo electrónico que comparte el mismo dominio. Esto puede facilitar la búsqueda de un colega específico al que llamar cuando el dominio pertenece a una empresa individual. Pero varios usuarios de Zoom dicen que se registraron con direcciones de correo electrónico personales, y Zoom los reunió con miles de otras personas como si todos trabajaran para la misma compañía, exponiendo su información personal entre sí.
“¡Me sorprendió esto! Me suscribí (con un alias, afortunadamente) y vi a 995 personas desconocidas para mí con sus nombres, imágenes y direcciones de correo”. Barend Gehrels, un usuario de Zoom afectado por el problema y que lo marcó en Motherboard, escribió en un correo electrónico.
Gehrels proporcionó una captura de pantalla redactada de él conectado a Zoom con las casi 1000 cuentas diferentes que figuran en la sección “Directorio de la empresa”. Dijo que se trataba de “todas las personas que no conozco, por supuesto”. Dijo que su pareja tenía el mismo problema con otro proveedor de correo electrónico y tenía más de 300 personas incluidas en sus propios contactos.
“Si se suscribe a Zoom con un proveedor no estándar (es decir, no Gmail, Hotmail o Yahoo, etc.), obtendrá información para TODOS los usuarios suscritos de ese proveedor: sus nombres completos, sus direcciones de correo, su foto de perfil (si tienen cualquiera) y su estado. Y puedes llamarlos por video “, dijo Gehrels. Sin embargo, un usuario todavía tiene que aceptar la llamada del extraño para que se inicie.
En su sitio web, Zoom dice : “De manera predeterminada, su directorio de contactos de Zoom contiene usuarios internos en la misma organización, que están en la misma cuenta o cuya dirección de correo electrónico utiliza el mismo dominio que el suyo (excepto los dominios de uso público, incluido gmail.com , yahoo.com, hotmail.com, etc.) en la sección Directorio de empresas “.
Sin embargo, el sistema de Zoom no exime a todos los dominios que se utilizan para correo electrónico personal. Gehrels dijo que encontró el problema con los dominios xs4all.nl, dds.nl y quicknet.nl. Todos estos son proveedores holandeses de servicios de Internet (ISP) que ofrecen servicios de correo electrónico.
En Twitter, Motherboard encontró otras instancias de usuarios holandeses que informaron el mismo problema.
“Acabo de echar un vistazo a la versión gratuita para uso privado de Zoom y me registré con mi correo electrónico privado. Ahora recibí 1000 nombres, direcciones de correo electrónico e incluso fotos de personas en el Directorio de la compañía. ¿Es esto intencional?” semana junto con una captura de pantalla.
El ISP holandés XS4ALL tuiteó en respuesta a una queja el domingo , “Esto es algo que no podemos desactivar. Podrías ver si Zoom puede ayudarte con esto”.
El ISP holandés DDS le dijo a Motherboard en un correo electrónico que estaba al tanto del problema, pero que no había tenido noticias directas de ninguno de sus propios clientes al respecto.
“Zoom mantiene una lista negra de dominios y regularmente identifica de forma proactiva los dominios que se agregarán”, dijo un portavoz de Zoom a Motherboard. “Con respecto a los dominios específicos que destacó en su nota, ahora están en la lista negra”. También señalaron una sección del sitio web de Zoom donde los usuarios pueden solicitar que se eliminen otros dominios de la función Directorio de la empresa.
La semana pasada, Zoom actualizó la versión de iOS de su aplicación después de que Motherboard descubriera que estaba enviando datos analíticos a Facebook. El lunes, un usuario presentó una demanda colectiva contra Zoom por la transferencia de datos. El mismo día, el Fiscal General de Nueva York envió una carta a Zoom preguntando qué medidas de seguridad había implementado la compañía, ya que la aplicación se ha disparado en popularidad.
Fuente: VICE
