變焦發(fā)現(xiàn)泄露個人用戶數(shù)據(jù) 也可以方便竊取您的Windows登錄憑證

Zoom的人氣飆升似乎是公司喜憂參半，本周又出現(xiàn)了一個隱私問題，涉及數(shù)千名用戶的個人信息泄露，向平臺上的陌生人透露他們的電子郵件地址和照片，并可能使后者啟動不必要的視頻電話。

這一次的問題并不局限于Zoom最近固定的iOS應用程序，但正如副注記的那樣，它與平臺的“公司目錄”設置的配置有關。 雖然已經(jīng)注冊了同一個公司電子郵件域的用戶被分組在一起，以便更容易地與同事進行搜索和呼叫，但一些使用私人電子郵件加入Zoom的人已經(jīng)有數(shù)千名陌生人添加到他們的聯(lián)系人列表中，Zoom認為所有這些人都在同一個組織下工作，因為他們域名。

一個受影響的用戶發(fā)給Vice的截圖顯示，他的公司目錄中增加了近千個未知的聯(lián)系人

“如果您使用非標準提供商訂閱Zoom(我的意思是，不是Gmail或Hotmail或Yahoo等)，那么您就可以了解該提供商的所有訂閱用戶：他們的全名、他們的郵件地址、他們的個人資料圖片（如果他們有的話）和他們的狀態(tài)。 荷蘭用戶Bare nd Gehrels說：“你可以通過視頻給他們打電話?！彼穆?lián)系人名單上有995個陌生人。

另一個遇到同樣問題的用戶通知了他們的ISP，他們無法在他們的最后糾正它，并要求申訴人聯(lián)系Zoom。 該公司正式免除上述公共域名的用戶公司目錄，但注意到他們需要提交手動黑名單非標準域名的請求。

Zoom還將Vice在其報告中強調(diào)的特定領域列入了黑名單，但這一問題對于數(shù)百萬最近跳上該平臺進行遠程會議、參加在線課程和與家人保持聯(lián)系的新用戶來說，還有待觀察。

更新：除了上述問題外，還記錄了(如BleepingComputer報告的)，由于縮放如何處理組聊天中的URL，您發(fā)送/接收的任何URL都被轉(zhuǎn)換為超鏈接。 然而，這可能是惡意使用的，如果您沒有發(fā)送網(wǎng)絡鏈接，而是收到了UNC路徑（通用命名公約），這也將轉(zhuǎn)換為鏈接。

通常使用UNC路徑進行網(wǎng)絡和文件共享(例如，\127.0.0.1C$windowssystem32calc.exe)。 不知情的用戶可以單擊惡意鏈接，這將使Windows嘗試使用服務器消息塊(SMB)網(wǎng)絡文件共享協(xié)議連接到遠程主機。 默認情況下，Windows將發(fā)送用戶的登錄名和他們的NTLM密碼哈希，這可以很容易地破解。

已經(jīng)聯(lián)系了縮放，這樣他們就可以發(fā)出修復，所以聊天客戶端不會將UNC路徑轉(zhuǎn)換為可點擊的鏈接。 也有一些可用的解決方案，但簡而言之，不要去點擊任何鏈接，你是通過聊天發(fā)送的，更不要說它不是一個可信的聯(lián)系人。

德多·魯維奇：路透社