Ugnay sa amin

Proteksyon ng Data

Zoom: nag-leak ang mga kahina-hinalang kasanayan sa Github.

IBAHAGI:

Nai-publish

on

Ang malayuang video conferencing software na ZOOM, na biglang naging popular sa panahon ng pandemya, ay matagumpay na nalampasan ang mga tradisyonal na video conference software tulad ng Skype, Teams, at naging pinakasikat na tool. Mayroon itong daan-daang milyong pang-araw-araw na aktibong user, at ginagamit pa nga ng maraming ahensya ng gobyerno. Gayunpaman, ang software ay paulit-ulit na nalantad sa mga pagtagas ng data at mga kahinaan sa seguridad nang sunud-sunod na nakakuha ng malawakang atensyon mula sa mga awtoridad sa regulasyon.

Kamakailan lamang, noong ika-30 ng Mayo, may nag-claim na siya ay isang senior technician sa loob ng ZOOM nag-post ng repository sa Github na nagpapakita ng "mga ebidensya" na lihim na ini-save ng kumpanya ang impormasyon ng user at ibinibigay ito sa mga institusyon ng pamahalaan sa United States.


Ang mga gumagamit ng ZOOM ay walang awtonomiya sa data.

Ayon sa leaker: "Hiniling ng gobyerno ng US sa Zoom na panatilihin ang data ng interes ng user kabilang ang mga tinanggal na ng mga user upang makuha nila ang anuman at lahat ng data ng user. Upang matugunan ang mga naturang kahilingan, binago ng Zoom ang kanilang tool upang magpanggap na ang data ay tinanggal habang lamang pagbibigay sa tinanggal na data ng isang nakatagong pag-aari, samakatuwid ay pinapanatili ang data ng user habang pinaniniwalaan ang kanilang mga user na nabura ang data na ito ay nakakatulong na lihim na kopyahin at mapanatili ang kasaysayan ng pagpupulong ng data at mga detalye ng mga kalahok, mga pag-record ng ulap, mensahe ng chat, mga larawan, mga file, Zuora (. Billing system, zuora.com), SFDC (CRM system, salesforce.com), telepono/address, billing address, at credit/debt card sa pamamagitan ng data cloning at mirroring. system kung saan ang iyong hitsura sa listahan ng target, kahit na hindi ka magpakita ng anumang ilegal na pag-uugali, ang lahat ng iyong mga aksyon sa Zoom ay isasailalim sa direktang pagsubaybay at sa libreng pagtatapon ng mga departamentong nagpapatupad ng batas."


Pagsubaybay sa mga User sa pamamagitan ng Backdoor System (Pagsubaybay sa Automated TOS Violators Termination System).

Ayon sa naka-post na dokumento: "Nakumpleto na ng Zoom headquarter ang R&D ng isang lihim na sistema ng pagsubaybay sa matagal na panahon ang nakalipas. Ito ay tinatawag na "Tracking Automated TOS Violators Termination System" na ang panloob na IP ay "se.zipow.com/tos". Hindi lalampas sa 2018, inilagay ang system sa application, sinusubaybayan ang mga libreng user pati na rin ang mga premium na user at mga user ng enterprise. Ang mga pangunahing pag-andar ng system ay awtomatikong paghahanap ng mga madaling kapitan na pagpupulong, libreng pag-access sa mga pagpupulong na walang password o pahintulot ng host sa pamamagitan lamang ng backdoor ng system, random na pagsusuri ng nilalaman ng video mula sa mga pagpupulong, mga lihim na pag-record ng mga video, audio, mga screenshot ng mga pagpupulong at paggawa ng mga ulat o data nang naaayon sa mga departamento ng pangangasiwa ng US pati na rin ang pagwawakas ng mga madaling pagpupulong at pagbabawal sa mga kamag-anak na account. Ang sistema ay lubos na kumpidensyal at binuksan lamang sa ilang mga panloob na empleyado. Maaaring ipaliwanag ng Zoom na binuo ang system na ito para sa paglaban sa krimen, ngunit kailangang kilalanin ng Zoom na ipinapakita ng system na may kakayahan itong subaybayan ang mga user at mayroon na itong kakayahan. Kailangang mag-alala ng mga tao kung aabuso ba ng Zoom ang system para sa tinatawag na "pambansang seguridad" o mga layunin ng negosyo ng US, at kahit na random, madalas, hindi matukoy na sinusubaybayan ang mga global na gumagamit at nakawin ang kanilang personal na data sa isang malaking sukat."


Mag-zoom ng back-end na sistema ng pamamahala.

Ayon sa leak: "Ang zoom back-end management system ay may pinakamataas na awtoridad sa lahat ng Zoom account. Ito ay idinisenyo upang makatulong na pamahalaan ang mga Zoom user account. Gayunpaman, ang system na ito ay may ilang backdoor function na maaaring lumabag sa data ng privacy ng user. Ang ilang mga function ay hindi paniwalaan, kapag ang isang empleyado ng Zoom ay nag-click sa "Login" na buton, gamit ang mga kredensyal ng user na ito, maaari siyang mag-log in sa account ng user na ito sa parehong paraan na ang user mismo ay makitungo sa kanyang sariling account. Sa ganitong paraan, ang empleyado ay may parehong karapatan na makitungo sa account ng user na ito, suriin ang lahat ng nasa account, gamit ang pribadong key ng user upang makita ang anumang mga kumpidensyal na file, mga talaan ng pulong, mga IM chat, mga email, mga pag-record ng telepono at mga pagsingil. Nangangahulugan ito na ang "ee2e" na panukala sa pag-encrypt ay isang walang kahulugan na harapan. Bukod sa pribilehiyong ito, maaaring baguhin o tanggalin ng mga empleyado ng Zoom ang lokal na data ng mga user, at kahit malayuang kontrolin o itanim ang isang backdoor sa mga kamag-anak na device tulad ng Zoom Room sa pamamagitan ng system na ito. Kung ikukumpara sa pamamahala ng mga user account sa pamamagitan ng naka-back na database, ginagawa ng system na ito na mas maginhawa para sa mga staff ng Zoom na subaybayan ang mga gawi ng user at kunin ang kanilang data nang hindi pinapansin ang panukalang pag-encrypt."


Pagsira sa pangako at paggamit ng data ng user para sa machine learning.


Ayon sa whistleblower: "Minsang ipinahayag ni Eric Yuan, ang CEO ng Zoom, na "Nangangako kami ngayon sa lahat ng aming mga customer na hindi namin gagamitin ang alinman sa kanilang mga audio/video chat, pagbabahagi ng screen. mga attachment at iba pang mga komunikasyon tulad ng mga resulta ng poll, whiteboard at mga reaksyon upang sanayin ang aming Al models o third-party na Al models". Sa pagkakaalam ko, sabik si Zoom na i-develop ang Al, dahil kailangan ng kumpanya ang Al para malaman ang illegitimacy sa video conferencing para maiwasan ang panganib sa pagsunod, para matukoy ang mga gumagamit ng panloloko para mabawasan ang mga pagkalugi sa ekonomiya, at suriin ang trend ng negosyo at focus ng serbisyo para makakuha ng higit pa. kita. Sa tulong ng Al, Zoom, sa ilalim ng gabay ng pagpapatupad ng batas, ay gumagamit ng "TATVTS" laban sa mga user. Ang "Tracking Automated TOS Violators Termination System" na binanggit sa itaas ay maaaring awtomatikong makakita ng mga kahina-hinalang meeting sa pamamagitan ng machine leaning, sumali sa mga meeting nang walang password at pahintulot ng host, pag-aralan ang content ng meeting at lihim na kumuha ng mga screenshot at video ng mga dadalo at content ng meeting. Sinanay ng data na nakolekta sa system, nagiging mas matalino ang "TATVTS" sa pagtukoy ng mga pulong at user kung saan maaaring magpakita ng interes ang pagpapatupad ng batas. Kaya ang pribadong data ng maraming inosenteng user ay nagiging mga sample sa pagsasanay sa machine learning model ng Zoom at lumalabag sa privacy ng data ng mga user."


Ang mga isyu sa privacy at seguridad ay maaaring lumikha ng malubhang panganib at makapinsala sa mga pamahalaan, organisasyon, indibidwal pati na rin ang mga lihim ng kalakalan sa digital age. Ang Zoom, bilang nangungunang video conference software sa mundo, ay nalantad nang higit sa isang beses para sa pag-leak ng data ng user at iba pang impormasyon. Sa panahon ng epidemya, pinalakas din ng Europe ang mga batas sa proteksyon ng data laban sa mga higanteng Amerikanong online na kumpanya ng social media. Noong 2022, nilagdaan ng EU at US ang data privacy framework. Malinaw na dapat igalang ng parehong partido ang legal na balangkas sa pagprotekta sa personal na privacy ng mga user, lalo na sa proteksyon ng data. Umaasa din kami na ang ZOOM ay maaaring matuto mula sa mga nakaraang legal na problema nito at magsimulang seryosohin ang mga isyu sa proteksyon ng impormasyon at data.

Para sa karagdagang pagbabasa at teknikal na impormasyon, mangyaring sundan ang link sa ibaba:
https://github.com/Alexlittle4/Zoom-violates-users-privacy

Nakipag-ugnayan ang EU Reporter kay Zoom para sa komento ngunit hindi sila nag-reply.

Ibahagi ang artikulong ito:

Ang EU Reporter ay naglalathala ng mga artikulo mula sa iba't ibang panlabas na mapagkukunan na nagpapahayag ng malawak na hanay ng mga pananaw. Ang mga posisyong kinuha sa mga artikulong ito ay hindi naman sa EU Reporter.

Nagte-trend