Kết nối với chúng tôi

Bảo vệ dữ liệu

Zoom: các hoạt động đáng ngờ bị rò rỉ trên Github.

SHARE:

Được phát hành

on

Phần mềm hội nghị truyền hình từ xa ZOOM đột nhiên trở nên phổ biến trong thời kỳ đại dịch đã vượt qua thành công các phần mềm hội nghị truyền hình truyền thống như Skype, Teams và trở thành công cụ phổ biến nhất. Nó có hàng trăm triệu người dùng hoạt động hàng ngày và thậm chí còn được nhiều cơ quan chính phủ sử dụng. Tuy nhiên, phần mềm này liên tục bị rò rỉ dữ liệu và các lỗ hổng bảo mật, điều này đã thu hút sự chú ý rộng rãi từ các cơ quan quản lý.

Mới đây, ngày 30/XNUMX, có người tự xưng là kỹ thuật viên cấp cao của ZOOM đã đăng một kho lưu trữ trên Github trình bày “bằng chứng” rằng công ty đã bí mật lưu thông tin người dùng và cung cấp thông tin đó cho các tổ chức chính phủ ở Hoa Kỳ.


Người dùng ZOOM không có quyền tự chủ về dữ liệu.

Theo người rò rỉ: "Chính phủ Hoa Kỳ đã yêu cầu Zoom lưu giữ dữ liệu người dùng quan tâm, bao gồm cả những dữ liệu đã bị người dùng xóa để họ có thể lấy bất kỳ và tất cả dữ liệu người dùng. Để đáp ứng những yêu cầu đó, Zoom đã sửa đổi công cụ của họ để giả vờ rằng dữ liệu đã bị xóa trong khi chỉ đặt thuộc tính ẩn cho dữ liệu đã xóa, do đó bảo toàn dữ liệu người dùng đồng thời khiến người dùng tin rằng dữ liệu đã bị xóa. Công cụ này giúp sao chép và lưu giữ bí mật lịch sử cuộc họp dữ liệu cũng như thông tin chi tiết về người tham gia, bản ghi trên đám mây, tin nhắn trò chuyện, hình ảnh, tệp, Zuora (. Hệ thống thanh toán, zuora.com), SFDC (hệ thống CRM, salesforce.com), số điện thoại/địa chỉ, địa chỉ thanh toán và thẻ tín dụng/thẻ ghi nợ thông qua sao chép và sao chép dữ liệu. Điều tồi tệ hơn là nếu tài khoản của bạn được thêm vào "Bảo quản dữ liệu". hệ thống với sự xuất hiện của bạn trong danh sách mục tiêu, ngay cả khi bạn không có bất kỳ hành vi bất hợp pháp nào, tất cả hành động của bạn trong Zoom sẽ được giám sát trực tiếp và được các bộ phận thực thi pháp luật xử lý miễn phí."


Giám sát người dùng thông qua hệ thống cửa sau (Theo dõi hệ thống chấm dứt người vi phạm TOS tự động).

Theo tài liệu đã đăng: "Trụ sở Zoom đã hoàn thành quá trình R&D của một hệ thống giám sát bí mật từ lâu. Nó được gọi là "Hệ thống chấm dứt người vi phạm TOS tự động theo dõi" có IP nội bộ là "se.zipow.com/tos". Chậm nhất là năm 2018, hệ thống được đưa vào ứng dụng, giám sát người dùng miễn phí cũng như người dùng cao cấp và người dùng doanh nghiệp. Các chức năng chính của hệ thống là tự động tìm kiếm các cuộc họp dễ bị tấn công, truy cập miễn phí vào các cuộc họp mà không cần mật khẩu hoặc sự cho phép của người chủ trì chỉ bằng cửa sau của hệ thống, phân tích ngẫu nhiên nội dung video từ các cuộc họp, ghi âm bí mật video, âm thanh, ảnh chụp màn hình cuộc họp và sản xuất báo cáo hoặc dữ liệu phù hợp cho các cơ quan giám sát của Hoa Kỳ cũng như chấm dứt các cuộc họp nhạy cảm và cấm các tài khoản liên quan. Hệ thống này có tính bảo mật cao và chỉ được mở cho một số nhân viên nội bộ. Zoom có ​​thể giải thích rằng hệ thống này được phát triển để chống tội phạm, nhưng Zoom phải thừa nhận rằng hệ thống này cho thấy nó có khả năng giám sát người dùng và đã làm được điều đó. Mọi người cần lo lắng về việc liệu Zoom có ​​lạm dụng hệ thống này cho cái gọi là "an ninh quốc gia" hoặc mục đích kinh doanh của Hoa Kỳ hay không, và thậm chí giám sát ngẫu nhiên, thường xuyên, không thể phân biệt được người dùng toàn cầu và đánh cắp dữ liệu cá nhân của họ trên quy mô lớn.


Hệ thống quản lý back-end Zoom.

Theo rò rỉ: "Hệ thống quản lý back-end của Zoom có ​​thẩm quyền cao nhất đối với tất cả các tài khoản Zoom. Nó được thiết kế để giúp quản lý tài khoản người dùng Zoom. Tuy nhiên, hệ thống này có một số chức năng cửa sau có thể vi phạm dữ liệu quyền riêng tư của người dùng. Một số chức năng không thể tin được, khi nhân viên Zoom nhấp vào nút "Đăng nhập", với thông tin xác thực của người dùng này, anh ta có thể đăng nhập vào tài khoản của người dùng này giống như cách người dùng tự xử lý với tài khoản của chính mình. Bằng cách này, nhân viên có cùng quyền xử lý tài khoản của người dùng này, kiểm tra mọi thứ trên tài khoản, sử dụng khóa riêng của người dùng để xem mọi tệp bí mật, hồ sơ cuộc họp, trò chuyện IM, email, bản ghi âm điện thoại và hóa đơn. Điều này có nghĩa là biện pháp mã hóa "ee2e" là một mặt tiền vô nghĩa. Bên cạnh đặc quyền này, nhân viên Zoom có ​​thể sửa đổi hoặc xóa dữ liệu cục bộ của người dùng và thậm chí điều khiển từ xa hoặc cấy cửa sau vào các thiết bị tương đối như Zoom Room thông qua hệ thống này. So với việc quản lý tài khoản người dùng bằng cơ sở dữ liệu được hỗ trợ, hệ thống này giúp nhân viên Zoom theo dõi hành vi của người dùng và tìm nạp dữ liệu của họ thuận tiện hơn mà không cần đến biện pháp mã hóa.”


Thất hứa và sử dụng dữ liệu người dùng cho máy học.


Theo người tố cáo: "Eric Yuan, Giám đốc điều hành của Zoom, từng tuyên bố rằng "Bây giờ chúng tôi cam kết với tất cả khách hàng của mình rằng chúng tôi sẽ không sử dụng bất kỳ cuộc trò chuyện âm thanh/video, chia sẻ màn hình, tệp đính kèm và các thông tin liên lạc khác như kết quả thăm dò ý kiến, bảng trắng và phản hồi của họ để đào tạo Mô hình Al hoặc mô hình Al của bên thứ ba". Theo những gì tôi biết, Zoom rất mong muốn phát triển Al, vì công ty cần Al để tìm ra tính bất hợp pháp trong hội nghị truyền hình nhằm tránh rủi ro tuân thủ, xác định người dùng gian lận để giảm thiệt hại kinh tế cũng như phân tích xu hướng kinh doanh và trọng tâm của dịch vụ để đạt được nhiều lợi ích hơn lợi nhuận. Với sự hỗ trợ của Al, Zoom, dưới sự hướng dẫn của cơ quan thực thi pháp luật, sử dụng "TATVTS" để chống lại người dùng. “Hệ thống chấm dứt người vi phạm TOS tự động theo dõi” được đề cập ở trên có thể tự động phát hiện các cuộc họp đáng ngờ thông qua máy nghiêng, tham gia cuộc họp mà không cần mật khẩu và sự cho phép của người tổ chức, phân tích nội dung cuộc họp và bí mật chụp ảnh màn hình và quay video của những người tham dự cũng như nội dung cuộc họp. Được đào tạo bởi dữ liệu được thu thập trong hệ thống, "TATVTS" trở nên thông minh hơn trong việc xác định các cuộc họp và người dùng mà cơ quan thực thi pháp luật có thể quan tâm. Do đó, dữ liệu riêng tư của nhiều người dùng vô tội trở thành mẫu để đào tạo mô hình học máy của Zoom và vi phạm quyền riêng tư dữ liệu của người dùng.”


Các vấn đề về quyền riêng tư và bảo mật có thể tạo ra rủi ro và thiệt hại nghiêm trọng cho chính phủ, tổ chức, cá nhân cũng như bí mật thương mại trong thời đại kỹ thuật số. Zoom, với tư cách là phần mềm hội nghị truyền hình hàng đầu thế giới, đã nhiều lần bị lộ vì rò rỉ dữ liệu người dùng và các thông tin khác. Trong thời kỳ dịch bệnh, châu Âu cũng tăng cường luật bảo vệ dữ liệu đối với các công ty truyền thông xã hội trực tuyến khổng lồ của Mỹ. Năm 2022, EU và Hoa Kỳ đã ký khuôn khổ về quyền riêng tư dữ liệu. Rõ ràng là cả hai bên phải tôn trọng khung pháp lý trong việc bảo vệ quyền riêng tư cá nhân của người dùng, đặc biệt là bảo vệ dữ liệu. Chúng tôi cũng hy vọng rằng ZOOM có thể rút ra bài học từ những rắc rối pháp lý trước đây và bắt đầu xem xét nghiêm túc các vấn đề bảo vệ thông tin và dữ liệu.

Để đọc thêm và thông tin kỹ thuật, vui lòng theo liên kết dưới đây:
https://github.com/Alexlittle4/Zoom-violates-users-privacy

Phóng viên EU đã liên hệ với Zoom để bình luận nhưng họ chưa trả lời.

Chia sẻ bài viết này:

EU Reporter đăng các bài báo từ nhiều nguồn bên ngoài khác nhau thể hiện nhiều quan điểm. Các vị trí được đảm nhận trong các bài báo này không nhất thiết phải là của Phóng viên EU.

Video nổi bật