Zoom: Sicherheitslücke offenbart tausende von Benutzervideos online
Forscher haben Tausende von privaten Zoom-Aufnahmen entdeckt, die online veröffentlicht wurden, ein weiterer Schlag für die Sicherheit der Firma, die mit einem enormen Anstieg der Nutzerzahlen zu kämpfen hat.
Der ehemalige NSA-Forscher Patrick Jackson sagte der Washington Post, dass er die Videos über eine einfache Cloud-Speichersuche finden konnte.
Zoom: Sicherheitslücke offenbart tausende von Benutzervideos online
Viele von ihnen wurden offenbar ohne Passwörter in S3-Buckets von Amazon Web Services (AWS) gespeichert, und da die Zoom-Standardnamenskonvention relativ leicht zu erraten ist, waren sie einfach zu finden.
Eine Suche nach derart benannten Videos ergab offenbar 15.000 verschiedene Aufzeichnungen, von denen einige hochsensible Informationen enthielten.
Diese reichten von Remote-Unterricht für Grundschulklassen, in denen die Gesichter der Schülerinnen und Schüler zu sehen waren, bis hin zu privaten Therapiesitzungen, Geschäftsbesprechungen einschließlich finanzieller Details und sogar einer Kosmetikerin, die den Schülerinnen und Schülern demonstrierte, wie man ein brasilianisches Wachs aufträgt.
Zoom ermöglicht es den Benutzern, Besprechungen aufzuzeichnen und in seinem eigenen Cloud-Service zu speichern, aber es bietet den Kunden auch die Möglichkeit, Videos an ihrem bevorzugten Ort zu speichern, ohne ein Passwort zu benötigen.
Es ist die letztere Art, die anscheinend offengelegt wurde, wobei Experten argumentieren, dass die Firma das Problem mildern sollte, indem sie die Nutzerinnen zwingt, beim Speichern von Videos einen eindeutigen Dateinamen zu erstellen.
In einer Erklärung stellte Zoom klar, dass es den Benutzern eine „sichere und gesicherte“ Möglichkeit bietet, ihre Aufnahmen zu speichern.
„Zoom-Sitzungen werden nur nach Wahl des Gastgebers entweder lokal auf dem Rechner des Gastgebers oder in der Zoom-Cloud aufgezeichnet“, hieß es.
„Sollten sich Gastgeber später dafür entscheiden, ihre Sitzungsaufzeichnungen an einem anderen Ort hochzuladen, fordern wir sie auf, äußerste Vorsicht walten zu lassen und gegenüber den Sitzungsteilnehmern transparent zu sein, wobei sorgfältig zu prüfen ist, ob die Sitzung sensible Informationen enthält und den berechtigten Erwartungen der Teilnehmer entspricht.
Die Nachricht kommt nach einer harten Woche für die Videokonferenzplattform, in der die Zahl der Teilnehmer an den täglichen Treffen von 10 Millionen im Dezember auf etwa 200 Millionen im März gestiegen ist.
CEO Eric Yuan listete eine Reihe von Maßnahmen auf, die das Unternehmen zur Verbesserung der Privatsphäre und Sicherheit ergreift, darunter: Patches für drei neue Zero-Day-Bugs, die Entfernung des Facebook-SDK im iOS-Client, nach Datenschutzbeschwerden und die Klärung neuer Standardeinstellungen, um „Zoombombing“ zu verhindern.
Der Yuan kündigte auch einen „Feature Freeze“ an, durch den alle technischen Ressourcen auf Vertrauens-, Sicherheits- und Datenschutzfragen verlagert werden sollen.
Geek, Blogger, Consultant & Reisender. Auf seiner Detail-Seite findest du weitere Informationen über Benjamin. In seiner Freizeit schreibt Benjamin bevorzugt über Technik-Themen. Neben Anleitungen und How-To’s interessieren Benjamin auch Nachrichten zur IT-Sicherheit. Sollte die Technik nicht im Vordergrund stehen, geht Benjamin gerne wandern.