變焦發(fā)現(xiàn)泄露個(gè)人用戶數(shù)據(jù) 也可以方便竊取您的Windows登錄憑證

Zoom的人氣飆升似乎是公司喜憂參半，本周又出現(xiàn)了一個(gè)隱私問(wèn)題，涉及數(shù)千名用戶的個(gè)人信息泄露，向平臺(tái)上的陌生人透露他們的電子郵件地址和照片，并可能使后者啟動(dòng)不必要的視頻電話。

這一次的問(wèn)題并不局限于Zoom最近固定的iOS應(yīng)用程序，但正如副注記的那樣，它與平臺(tái)的“公司目錄”設(shè)置的配置有關(guān)。 雖然已經(jīng)注冊(cè)了同一個(gè)公司電子郵件域的用戶被分組在一起，以便更容易地與同事進(jìn)行搜索和呼叫，但一些使用私人電子郵件加入Zoom的人已經(jīng)有數(shù)千名陌生人添加到他們的聯(lián)系人列表中，Zoom認(rèn)為所有這些人都在同一個(gè)組織下工作，因?yàn)樗麄冇蛎?/p>

一個(gè)受影響的用戶發(fā)給Vice的截圖顯示，他的公司目錄中增加了近千個(gè)未知的聯(lián)系人

“如果您使用非標(biāo)準(zhǔn)提供商訂閱Zoom(我的意思是，不是Gmail或Hotmail或Yahoo等)，那么您就可以了解該提供商的所有訂閱用戶：他們的全名、他們的郵件地址、他們的個(gè)人資料圖片（如果他們有的話）和他們的狀態(tài)。 荷蘭用戶Bare nd Gehrels說(shuō)：“你可以通過(guò)視頻給他們打電話?！彼穆?lián)系人名單上有995個(gè)陌生人。

另一個(gè)遇到同樣問(wèn)題的用戶通知了他們的ISP，他們無(wú)法在他們的最后糾正它，并要求申訴人聯(lián)系Zoom。 該公司正式免除上述公共域名的用戶公司目錄，但注意到他們需要提交手動(dòng)黑名單非標(biāo)準(zhǔn)域名的請(qǐng)求。

Zoom還將Vice在其報(bào)告中強(qiáng)調(diào)的特定領(lǐng)域列入了黑名單，但這一問(wèn)題對(duì)于數(shù)百萬(wàn)最近跳上該平臺(tái)進(jìn)行遠(yuǎn)程會(huì)議、參加在線課程和與家人保持聯(lián)系的新用戶來(lái)說(shuō)，還有待觀察。

更新：除了上述問(wèn)題外，還記錄了(如BleepingComputer報(bào)告的)，由于縮放如何處理組聊天中的URL，您發(fā)送/接收的任何URL都被轉(zhuǎn)換為超鏈接。 然而，這可能是惡意使用的，如果您沒(méi)有發(fā)送網(wǎng)絡(luò)鏈接，而是收到了UNC路徑（通用命名公約），這也將轉(zhuǎn)換為鏈接。

通常使用UNC路徑進(jìn)行網(wǎng)絡(luò)和文件共享(例如，\127.0.0.1C$windowssystem32calc.exe)。 不知情的用戶可以單擊惡意鏈接，這將使Windows嘗試使用服務(wù)器消息塊(SMB)網(wǎng)絡(luò)文件共享協(xié)議連接到遠(yuǎn)程主機(jī)。 默認(rèn)情況下，Windows將發(fā)送用戶的登錄名和他們的NTLM密碼哈希，這可以很容易地破解。

已經(jīng)聯(lián)系了縮放，這樣他們就可以發(fā)出修復(fù)，所以聊天客戶端不會(huì)將UNC路徑轉(zhuǎn)換為可點(diǎn)擊的鏈接。 也有一些可用的解決方案，但簡(jiǎn)而言之，不要去點(diǎn)擊任何鏈接，你是通過(guò)聊天發(fā)送的，更不要說(shuō)它不是一個(gè)可信的聯(lián)系人。

德多·魯維奇：路透社