image

Zoom lekt foto's en e-mailadressen gebruikers aan onbekenden

woensdag 1 april 2020, 10:14 door Redactie, 12 reacties

Videoconferentiesoftware Zoom heeft van duizenden gebruikers hun naam, e-mailadres en profielfoto aan andere gebruikers van het platform gelekt die elkaar niet kennen. Het probleem wordt veroorzaakt door de "Company Directory" instelling van Zoom, die automatisch mensen aan de contactenlijst van de gebruiker toevoegt die zich met een e-mailadres met hetzelfde domein hebben aangemeld.

Onlangs maakte een XS4ALL-klant op Twitter nog melding dat Zoom alle XS4ALL-gebruikers als haar bedrijfscontacten beschouwde. Zoom dacht dat alle mensen die zich met een @xs4all.nl-mailadres hadden aangemeld onderdeel van hetzelfde bedrijf zijn. Vervolgens krijgen deze gebruikers van elkaar de profielfoto, naam en e-mailadres te zien. Alleen voor publiek gebruikte domeinen, zoals bijvoorbeeld gmail.com, yahoo.com en hotmail.com, maakt Zoom standaard een uitzondering.

In het geval van de Nederlandse domeinen xs4all.nl, dds.nl en quicknet.nl is dat niet het geval en worden gebruikers, zodra ze zich met een e-mailadres van deze domeinen aanmelden, als medewerkers van hetzelfde "bedrijf" gezien. Zoom laat in een verklaring tegenover Vice Magazine weten dat gebruikers een verzoek kunnen indienen om domeinen uit de Company Directory te laten verwijderen.

Image

Reacties (12)
01-04-2020, 11:04 door Anoniem
hahaha.... we voegen iedereen toe en als je het niet goed vindt, moet je dat even laten weten, ok?
01-04-2020, 11:35 door Anoniem
Ze hebben de oplossing dus al, nu nog even wereldwijd alle ISP's toevoegen..... heb je even....
01-04-2020, 11:37 door Anoniem
Ik hoor steeds vaker over zoom hier op security.nl, toen dat zoom zijn eerste bug meldingen gaf, maar hoe is die ineens zo populair geworden als ik alleen maar negatieve dingen over lees?! Er wordt tamelijk veel positieve reclame gemaakt voor signal/matrix en toch gebruikt m'n zoom terwijl ik daar nog nooit van gehoort had.
01-04-2020, 12:19 door Anoniem
Als een tool eenvoudig en goed werkt, is voor de meesten al de rest bijzaak. En Zoom werkt inderdaad gewoon goed.
01-04-2020, 12:22 door Anoniem
Door Anoniem: hahaha.... we voegen iedereen toe en als je het niet goed vindt, moet je dat even laten weten, ok?

Zoiets als Whatsapp die meteen eigenaar wordt van je hele telefoonboek of de mensen die erinstaan nou wel of geen WA hebben.
01-04-2020, 13:19 door Anoniem
L.S.

Laatst ook aan een zoom video-conferentie deelgenomen, maar niet onder mijn eigen ware credentials.
Als beta-tester deel je toch al zowat van alles en nog wat.
In dit soort gevallen is trust in een product een heel belangrijk item geworden.

Op zulke tools moet je niet iets delen met anderen wat je niet met een ieder (dus de hele verdere wereld) wenst te delen.
Hele goeie grondhouding overal en in alle gevallen in de "surveillance globe" die we samen bewonen.
Zoom geeft dezelfde privacy concerns als Google en Facebook m.i.
Dat zijn echter "total concerns" en nog sterker t.t.v. een coronavirus lock-down.
Ze komen dan echt om je DNA en al je overige aangekoppelde data.

Hoe zit het met de connectie, wat kan er gelekt worden. Hacken staatsacteurs Zoom blobs?
Is Zoom niet een geweldige tool om medewerkers in de gaten te kunnen houden?
Surveillance tool by design.

Ik zou eerst wel eens willen weten wat de security implicaties zijn alvorens zo'n tool te (moeten) gebruiken.
Bedrijven hebben heel wat info en data, die beschermd moeten worden tegen 3rd party eyes.
Heeft het managment daar wel eens goed en diepgaand over nagedacht? Besef wat je lekt.
Kan Zoom garanderen dat wat gedeeld wordt niet gedeelde smart halve smart betekent?

"een bezorgd Zoom gebruiker".
01-04-2020, 13:37 door Anoniem
Vooral het onderwijs is er recentelijk massaal op over gestapt. Niet gehinderd door enige kennis van de alternatieven die wel de privacy van hun leerlingen waarborgen : www.jitsi.org , www.jami.net
01-04-2020, 14:09 door Anoniem
Hoop geblaat om niets.
Je vult zelf al die gegevens in bij Zoom, dus je weet dat ze daar vroeg of laat mee onderuit gaan.
Maak gewoon een eenmalig mailadfres aan voor dat soort zaken, outlook, gmail, yahoo, gmx, genoeg keuze.
Met het invullen van je gegevens heb je je privacy al opgegeven..........
01-04-2020, 14:20 door Anoniem
gebruikers een verzoek kunnen indienen om domeinen uit de Company Directory te laten verwijderen
Kunnen ze daar niet beter van maken dat bedrijven een verzoek kunnen indienen om hun domein in de company
directory te laten toevoegen?
01-04-2020, 15:09 door Anoniem
Door Anoniem: Als een tool eenvoudig en goed werkt, is voor de meesten al de rest bijzaak. En Zoom werkt inderdaad gewoon goed.

Blijkbaar werkt het dus niet goed. Tenzij je definitie van "goed" gelijk is and die van "gemankeerd".
02-04-2020, 00:17 door Anoniem
Maar Zoom is wel een dienst, die echt vreselijk goed draait ten tijde van de huidige coronaviruscrisis.
The "homebody-industry" is booming grand time. Google has never been so busy.
Is er een inhoudelijk verband misschien?

Goede tijden ook voor facebook, Netflix, Alibaba, Amazon, dus wederom de een z'n d**d is ....vul maar verder aan).
Er wordt flink verdiend aan : het lijden dat men vreest en zelden in allerergste zin op komt dagen".
Laten we daar eens met z'n allen even goed over nadenken. Waar zit die "pied piper"?

We zitten allemaal als konijnen roerloos met opgestoken oren in de stralenbundel van de MSM-lichtbak.
Hoe lang nog gaat dit duren? We weten het niet, dus maak Zoom s.v.p. wat veiliger.

#sockpuppet
02-04-2020, 15:40 door Anoniem
Door Anoniem: Vooral het onderwijs is er recentelijk massaal op over gestapt. Niet gehinderd door enige kennis van de alternatieven die wel de privacy van hun leerlingen waarborgen : www.jitsi.org , www.jami.net

Klopt, en je zou verwachten dat juist in het onderwijs kennis aanwezig is over cybersecurity, programmeren, software proprietair versus open source. Maar in Nederland kiest men massaal voor de ELO electronische leeromgeving Magister, en niet voor bijvoorbeeld Moodle (hoewel Moodle stijgt qua gebruikers: wereldwijd 60 miljoen in 2012 en nu in 2020 193 miljoen).
https://nl.wikipedia.org/wiki/Elektronische_leeromgeving
https://nl.wikipedia.org/wiki/Moodle
https://stats.moodle.org/
Voorlopig is men - ook in het Nederlandse onderwijs - nog massaal aan het "WhatsAppen(R), Skypen(R), Zoomen(R)" ....

Nederlandse ziekenhuizen hebben massaal gekozen voor de Covid-19 PCR analyse van fabrikant Roche, en zitten daarmee nu in een massale vendor lock-in. Alleen het UMCG heeft "meerdere platforms" voor Covid-19 analyse en heeft daarom geen last van de leveringsproblemen bij Roche.
https://www.ftm.nl/artikelen/roche-corona-lysisbuffer
https://www.groene.nl/artikel/noordelijke-provincies-laten-landelijk-beleid-los-en-testen-massaal-zorgmedewerkers
https://www.nrc.nl/nieuws/2020/03/27/straks-komen-duizenden-tests-per-dag-erbij-a3995203

Er komt nog een tijd dat "open source" als positieve eigenschap wordt onderkend.
En "Vendor lock-in" als potentieel veiligheidsrisico.
Van toepassing op hardware, software, wetenschap(pelijke publicaties), analysemethoden, ELO, chatten, beeldbellen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.