La fonction «Répertoire d’entreprise» de Zoom a regroupé des milliers d’adresses e-mail personnelles, exposant les données des utilisateurs

Le feu de la benne à ordures qui constitue les pratiques de Zoom en matière de sécurité et de confidentialité continue de faire rage après qu’il soit apparu que la fonctionnalité «  Répertoire d’entreprise  » de Zoom regroupait des milliers d’étrangers, exposant des données personnelles.

Selon un rapport de la carte mère

La vidéoconférence populaire Zoom divulgue les informations personnelles d’au moins des milliers d’utilisateurs, y compris leur adresse e-mail et leur photo, et donne aux étrangers la possibilité de tenter de démarrer un appel vidéo avec eux via Zoom.

Le problème réside dans le paramètre « Répertoire d’entreprise » de Zoom, qui ajoute automatiquement d’autres personnes aux listes de contacts d’un utilisateur s’ils se sont inscrits avec une adresse e-mail qui partage le même domaine. Cela peut faciliter la recherche d’un collègue spécifique à appeler lorsque le domaine appartient à une entreprise individuelle. Mais plusieurs utilisateurs de Zoom disent qu’ils se sont inscrits avec des adresses e-mail personnelles, et Zoom les a regroupés avec des milliers d’autres personnes comme s’ils travaillaient tous pour la même entreprise, exposant leurs informations personnelles les uns aux autres.

Le rapport cite les utilisateurs qui ont créé des comptes Zoom et ont rencontré les informations de quelque 995 autres personnes dont ils n’avaient jamais rencontré ou entendu parler, y compris leurs noms, images et adresses e-mail.

La capture d’écran ci-dessus fournie dans le rapport initial montre une instance de la fonction «Annuaire d’entreprise» et comment elle a regroupé des centaines d’utilisateurs aléatoires. Le rapport note que sur le site Web de Zoom, il explique la fonction d’annuaire comme suit:

« Par défaut, votre répertoire de contacts Zoom contient des utilisateurs internes de la même organisation, qui sont sur le même compte ou dont l’adresse e-mail utilise le même domaine que le vôtre (sauf pour les domaines publics tels que gmail.com, yahoo.com, hotmail. com, etc.) dans la section Annuaire de l’entreprise. « 

Cependant, comme Vice l’a noté, Zoom semble avoir oublié quelques domaines personnels, notamment plusieurs FAI néerlandais et leurs domaines, xs4all.nl, dds.nl et quicknet.nl. Sur Twitter, d’autres utilisateurs néerlandais ont signalé le problème.

@zoom_us Je viens de jeter un œil à la version gratuite pour usage privé de Zoom et je me suis enregistré avec mon e-mail privé. J’ai maintenant 1000 noms, adresses e-mail et même des photos de personnes dans l’annuaire de l’entreprise. Est-ce intentionnel? #GDPR pic.twitter.com/bw5xZIGtSE

– Jeroen J.V Lebon (@JJVLebon) 23 mars 2020

La révélation est une autre erreur extrêmement troublante dans les pratiques de confidentialité et de sécurité de Zoom, qui ont été révélées récemment depuis la montée en popularité de l’application, entraînée par des mesures mondiales de distanciation sociale.

Au cours de la dernière semaine seulement, il est apparu que les appels de Zoom ne sont pas chiffrés de bout en bout malgré plusieurs affirmations selon lesquelles ils le sont, que Zoom envoyait auparavant des données utilisateur sur Facebook même s’ils n’avaient pas de compte Facebook, un défaut qu’il a corrigé et que Zoom utilise un protocole de pré-installation « très louche » pour macOS, le même type utilisé par les logiciels malveillants macOS pour contourner la sécurité macOS.

Il est important de noter que, comme mentionné, cela n’affecte pas les utilisateurs avec des adresses e-mail communes telles que les comptes Gmail, Yahoo ou Hotmail, cependant, Zoom semble avoir manqué suffisamment de domaines de messagerie personnels, de sorte que des milliers d’utilisateurs ont eu leurs données personnelles partagées avec des étrangers .