软餐之前报道, 视频会议应用 Zoom 的一个安全漏洞被曝光,该漏洞可使用户的 Windows 登录凭据被轻而易举的盗取。
现在,外媒报道曝光了 Zoom 的另一缺陷。报道称,Zoom 的一项漏洞导致用户的电子邮件地址和照片等私人信息遭到泄露,并允许一些用户发起与陌生人的视频通话。
Zoom 有一项称为 “ 公司目录 ” (Company Directory)的功能,为了方便用户查找用户,这项功能使用户可以添加具有相同域的其他用人。该功能旨在成为每个人共享相同域名的组织内的用户。但是,Zoom 将某些私有域视为公司的一部分,因此,它会将数千名随机用户添加到资源池中,就好像他们都在同一家公司工作一样,最终导致自己的个人信息向彼此曝光了。
反馈上述问题的用户称,他可以看到他们的全名、邮件地址、个人资料图片和状态信息,而且你可以和对方进行视频通话。要重现这一问题,用户需要使用 xs4all.nl、dds.nl 和 quicknet.nl 之类的非标准电子邮件进行注册。这些都是荷兰互联网服务提供商(ISP)提供的电子邮件服务。这导致 Zoom 认定这些用户都是同一家公司的员工。
Zoom 获悉这一问题后,给出了回应:
Zoom 会维护域黑名单,并定期主动识别要添加的域。用户反馈的域名现在已列入黑名单。
Zoom 还称可通过网站反馈,用户可提交将其他域从 “公司目录” 功能中删除的需求。
另外软餐还获悉,鉴于最近 Zoom 安全问题多发,在接下来的 90 天内,Zoom 将集中资源解决和修复安全和隐私问题。Zoom 在未来 3 个月内不会添加任何新功能。它还将与第三方专家和代表用户进行全面审查,以了解并确保其服务的安全性。
微信扫一扫