Positive Technologies помогла Zoom устранить уязвимости

Они могли навредить функционированию всей платформы.

Екатерина Соколова

Редактор новостей о бизнесе и EdTech. Скроллить новостную ленту — и работа, и хобби.

Специалисты компании Positive Technologies, занимающейся информационной безопасностью, обнаружили ошибки в Zoom. Найденные уязвимости могли позволить злоумышленникам получить доступ к серверам платформы. В этом случае хакеры могли бы перехватить данные с онлайн-собраний, атаковать инфраструктуру компаний-пользователей, а также прервать функционирование сервиса, сообщается в пресс-релизе.

Найденные уязвимости затрагивали все технологии для конференций, переговоров и их записей — Zoom Meeting Connector Controller, Zoom Virtual Room Connector и Zoom Recording Connector. О них Positive Technologies сообщила компании, и ошибки в системе устранили.

«Главной опасностью компрометации этих приложений и получения доступа к командной оболочке является то, что они обрабатывают трафик со всех конференций компании. Таким образом, злоумышленник может выполнять MITM-атаку (атака посредника — прим. ред.) и перехватывать любые данные с конференций в режиме реального времени», — рассказал Егор Димитренко, эксперт Positive Technologies.

По его словам, основная причина возникновения подобных уязвимостей — отсутствие достаточной проверки данных пользователей. Подобные бреши в системе всегда ведут к критическим последствиям — например, к тому, что хакеры получают полный доступ к инфраструктуре корпоративной сети.

Positive Technologies рекомендует пользователям сервисов Zoom обновить приложения до последней версии.

Подобные проблемы с безопасностью платформы происходят у компании не первый раз. В августе суд Калифорнии обязал Zoom заняться совершенствованием защиты данных пользователей. Компанию уличили в том, что она делилась конфиденциальной информацией с Facebook*. В итоге Zoom обязали выплатить компенсацию пострадавшим в размере 85 млн долларов.

Ранее, в апреле 2020 года, в сеть попали тысячи записей видеоконференций пользователей. Злоумышленники разместили частные разговоры и корпоративные совещания на YouTube и Vimeo. В том же месяце в даркнете обнаружили более 4 тысяч взломанных аккаунтов Zoom, выложенных на продажу.

* Решением суда запрещена «деятельность компании Meta Platforms Inc. по реализации продуктов — социальных сетей Facebook* и Instagram* на территории Российской Федерации по основаниям осуществления экстремистской деятельности».