Zoom possui falha de segurança que expõe dados dos utilizadores a estranhos

Carlos Oliveira
Comentar

Com a pandemia da COVID-19, muita gente começou a trabalhar a partir de casa e com isso sentiu-se um enorme crescimento no uso de aplicações de videoconferência. Uma das mais beneficiadas por este cenário foi a Zoom, mas nem tudo têm sido boas notícias para a plataforma.

A mais recente dá conta de que a plataforma expõe dados dos seus utilizadores a estranhos. Informações como nome, email e fotos de perfil estão a ser mostradas de forma automática.

Falha manifesta-se quando é feito login com domínios considerados menos populares

Esta falha de segurança foi exposta pela publicação Motherborad, depois de se deparar com vários relatos do sucedido. Um dos seus leitores testemunha como encontrou na sua lista de contactos do Zoom quase 1000 pessoas totalmente desconhecidas.

Zoom

Tudo acontece quando é feito login na plataforma com um domínio de email que não seja o Gmail, Hotmail, Yahoo ou semelhantes. Uma vez realizado o login, foi criada uma secção chamada “Company Directory” automaticamente preenchida com 995 contactos do mesmo domínio de email.

A adição destes contactos significa que ficarás a ter acesso aos seus nomes completos, endereços de email e às suas fotografias de perfil. Ademais, é possível iniciar uma videoconferência com qualquer um deles, obviamente desde que do outro lado a chamada seja aceite.

Zoom já respondeu afirmando que tal se deve a uma das funcionalidades da plataforma

Não tardou até que um esclarecimento oficial fosse dado pela Zoom. Segundo eles, aquilo que está a ser tratado como uma falha de segurança deve-se a uma das funcionalidades únicas da plataforma.

"Por defeito, o diretório de contactos do Zoom contém utilizadores internos da mesma organização, que estão na mesma conta ou cujo endereço de email usa o mesmo domínio que o seu (exceto para domínios usados publicamente, incluindo gmail.com, yahoo.com, hotmail.com , etc) na secção Company Directory."

Em casos de contas empresariais, esta função dispensa o trabalho de ter de adicionar manualmente todos os contactos à mesma lista. De facto, é algo bastante útil neste caso, mas pode ser um problema no caso de contas pessoais.

Depois deste relato, resta saber se a Zoom irá fazer alguma alteração a esta funcionalidade. Até ao momento, a empresa não se pronunciou sobre este ponto.

Este não é o único caso de falhas de segurança a afetar a Zoom

Ainda na semana passada foi noticiada uma falha de segurança na aplicação para iOS da Zoom. Neste caso, a plataforma estava a enviar dados dos utilizadores, sem o seu consentimento, para o Facebook.

Tal acontecia mesmo que a pessoa em causa não tivesse a sua conta na rede social associada à plataforma de videoconferência. Felizmente, a empresa responsável rapidamente removeu a SDK do Facebook, terminando com o problema.

Editores 4gnews recomendam:

Carlos Oliveira
Carlos Oliveira
Tendo já passado por várias casas, a 4gnews é aquela que me segura desde 2015. Com um desejo insaciável de me manter atualizado tecnologicamente, a partilha desse conhecimento é apenas o seguimento natural das coisas.