هزاران ویدئو ضبطشده اپلیکیشن Zoom در فضای وب فاش شدند
ساعاتی پیش مقالهای جدید در رسانهی واشنگتنپست منتشر شد که طبق آن، هزاران فایل ذخیرهشدهی مربوط به جلسات ویدئویی کاربران اپلیکیشن Zoom در فضای وب فاش شدهاند. واشنگتنپست میگوید نحوهی نامگذاری این فایلها باعث فاششدنشان شده است. براساس ادعای این روزنامه، زوم فایلهای ویدئویی ذخیرهشده را کاملا یکسان نامگذاری میکند. بسیاری از این فایلهای ویدئویی در باکتهای محافظتنشدهی سرویسهای مبتنیبر وب آمازون (Amazon Web Services) پست شدهاند و امکان دسترسی به آنها ازطریق جستوجوی آنلاین وجود دارد. باکتها (سطلهای آمازون) محل ذخیرهی تمامی دادهها هستند و در حالت پیشفرض قفل دارند؛ اما ممکن است شماری از کاربران قفل باکت را بردارند تا برای مثال امکان بهاشترکگذاری آنها با دوستانشان فراهم شود.
واشنگتنپست در بخشی از گزارشش ادعا میکند یکی از موتورهای جستوجو میتواند محتوای داخل باکتهای محافظتنشدهی AWS را بررسی کند، بیش از ۱۵ هزار فایل ویدئویی ضبطشده ازطریق زوم را فاش کرده که به کنفرانسهای مختلف مربوط میشده است. پاتریک جکسون، یکی از محققان حوزهی امنیت، مشکل یادشده را به رسانهی واشنگتنپست گزارش داده است. او میگوید نحوهی نامگذاری فایلهای ضبطشده دلیل اصلی فاششدن آنها بوده است. بهگفته جکسون، زوم در زمینهی هوشیارکردن کاربرانش برای محافظت از ویدئوهای ضبطشده باید بهتر عمل کند. همچنین، این شرکت میتواند با اتخاذ رویکردهایی جدید نظیر نامگذاری فایلها بهشکلی پیشبینینشدنی، پیداکردن آنها را در فضای وب سختتر کند. جکسون دراینزمینه میگوید:
ویدئوهای یادشده، ویدئوهایی بودند که هنگام مشاهدهی آنها حس خوبی نداشتم. شک دارم تمام کسانی که ویدئوهایشان فاش شده است، از این ماجرا باخبر باشند.
پنج نفر از کسانی که ویدئوهایشان در فضای وب فاش شده است، در گفتوگو با واشنگتنپست مدعی شدهاند روحشان از این ماجرا خبر ندارد و نمیدانند ویدئوها چگونه سر از وب درآوردهاند.
درضمن، گفته میشود از آن زمان تاکنون، هزاران ویدئو از فایلهای ضبطشده با زوم در یوتیوب و ویمیو (Vimeo) بارگذاری شدهاند. این یعنی دسترسی پیداکردن به ویدئوهای فاششده کار سختی نیست و با جستوجو در شبکههای اجتماعی، میتوان بسیاری از آنها را مشاهده کرد. خبرنگار واشنگتنپست میگوید شخصا توانسته است ویدئوهای ضبطشدهی مربوط به جلسات رواندرمانی، کسبوکارها، کلاسهای مدارس و... را مشاهده کند. طبق ادعای واشنگتنپست، در بسیاری از ویدئوهای فاششده، اطلاعات حساسی نظیر شمارهتلفن و موارد مشابه وجود دارد.
خبرنگار واشنگتنپست میگوید در یکی از ویدئوهای بارگذاریشده در روز جمعه، بهوضوح دیده است روانشناسی با بیمارش دربارهی مباحث مختلف به گفتوگو مینشیند. مباحث مطرحشده شامل مواردی حساس نظیر بیان دیدگاه بیمار دربارهی خودآزاری بودهاند. گفته میشود در بین ویدئوهای پخششده در فضای وب، حتی ویدئوهایی با محتوای برهنگی هم وجود دارند.
ناگفته نماند جلسات ویدئویی یادشده را همگی فردی در فضای وب بارگذاری کرده که به آنها دسترسی داشته است. دراینبین، ممکن است بارگذاری برخی از آنها اتفاقی باشد. زوم به کاربران اشتراکیاش امکان میدهد فایلهای ویدئویی خود را در سرورهای ابری بارگذاری کنند. گفته میشود ویدئوهای ذخیرهشده در سرورهای زوم، ویدئوهایی نیستند که در فضای وب فاش شدهاند؛ بلکه مشکل اصلی این است که ویدئوهای ذخیرهشده در رایانهی کاربران سر از فضای وب درآوردهاند. برای مثال، فردی ممکن است «بهصورت اتفاقی» جلسهی ویدئویی خود که ازطریق زوم ذخیره کرده است، روی فضای وب بارگذاری کرده باشد.
موضوع دیگری که مطرح میشود، کسبوکارهایی هستند که بهصورت خودکار فایلهای ضبطشدهی زوم را روی سروری خصوصی بارگذاری میکنند. ممکن است سرور ارائهشدهی این کسبوکارها، از امنیت لازم برخوردار نباشد. اگر کسی به این سرورها دسترسی پیدا کند، میتواند فایلهای ضبطشده را دانلود کند؛ فایلهایی که طبق ادعاهای مطرحشده، همگی یک نام دارند.
زوم اپلیکیشن نوپایی نیست؛ بااینحال، شیوع ویروس کرونا و رویآوردن مردم به کار در خانه و نیاز آنها برای برقراری ارتباط با یکدیگر از طریق بسترهای آنلاین، باعث افزایش محبوبیتش شده است.
واشنگتنپست مینویسد:
ازآنجاکه زوم تمامی فایلهای ویدئویی ضبطشده را بهصورت یکسان نامگذاری میکند، جستوجویی ساده در فضای وب، شمار زیادی از آنها را برملا میکند. کاربر میتواند بهراحتی این ویدئوها را تماشا یا حتی دانلود کند. واشنگتنپست [بنابه دلایل امنیتی] روش نامگذاری فایلهای زوم را اعلام نمیکند. درضمن پیش از انتشار این مقاله، به مدیران زوم دربارهی مشکل یادشده اطلاعرسانی شده است.
این نخستینباری نیست که شاهد گرفتهشدن انگشت انتقاد بهسمت زوم هستیم. از زمان افزایش محبوبیت ناگهانی این اپلیکیشن، بسیاری از افراد مدعی امنیت ضعیف زوم شدهاند. گرچه مشکل مطرحشده بهدلیل اشتباه کاربران بهوجود آمده است، این موضوع باعث نمیشود انگشت اتهام از روی زوم برداشته شود. در ماههای اخیر، در گزارشهای متعددی از نبود امنیت کافی باکتهای S3 آمازون شنیده بودیم. با درنظرگرفتن این موضوع، مشخص نیست زوم چرا تصمیم گرفته است همچنان از این باکتها بهره ببرد. اگر طراحی سیستمی خاص بهگونهای است که باعث شده هزاران نفر یک اشتباه را تکرار کنند، پس قطعا مشکلی دراینبین وجود دارد. درواقع، مشکلات ایجادشده مختص سرویس زوم یا سرورهای آمازون نیستند؛ بلکه موضوع به نحوهی طراحی آنها برمیگردد.
مهندسان زوم تصمیم گرفتهاند از شماری از روشهای امنیتی اپلیکیشنهای چتمحور دیگر استفاده نکنند. یکی از این روشها این است که در بسیاری از اپلیکیشنها پیش از ذخیرهی فایل ویدئویی، از کاربر خواسته میشود نامی خاص برای آن انتخاب کند. درواقع، سازندگان زوم راحتی را ترجیح دادهاند و همین انتقال حس راحتی به کاربران باعث شده است شمار کاربران زوم بهشدت افزایش پیدا کند.
واشنگتنپست میگوید مدیران اپلیکیشن Zoom از مشکل یادشده باخبر شدهاند؛ بااینحال، مشخص نیست میخواهند روند نامگذاری فایلهای ضبطشده را تغییر دهند یا خیر. زوم اطلاعیهای دراختیار رسانهی ورج قرار داده است که در آن میگوید:
اگر میزبان جلسات ویدئویی قصد داشته باشد ویدئو مربوط به جلسه را ضبط کند، زوم به شرکتکنندگان این موضوع را اطلاع و راهی امن بهمنظور ذخیرهسازی فایلهای ضبطشده دراختیار وی قرار میدهد. جلسات ویدئویی زوم فقط با خواست فرد برگزارکنندهی جلسه ضبط میشود و او میتواند فایل ضبطشده را روی دستگاه خود یا سرورهای ابری زوم ذخیره کند. اگر کاربر بخواهد بعدا فایل ضبطشده را در جای دیگری بارگذاری کند، او را ترغیب خواهیم کرد نهایت احتیاط را در دستورکار قرار دهد و این موضوع را به تمامی شرکتکنندگان نیز ابلاغ کند؛ زیرا ممکن است جلسهی برگزارشده حاوی اطلاعاتی حساس باشد. درضمن، شرکتکنندگان نیز حق دارند از بارگذاریشدن ویدئو در جایی دیگر اطلاع داشته باشند.
شیوع ویروس کرونا و رویآوردن کارمندان به کار در خانه، میزان استفاده از زوم و اپلیکیشنهای مشابه را بهشدت افزایش داده است. آمار نشان میدهند شمار کاربران زوم در چند وقت اخیر افزایشی بسیاری یافته است. طبق آمار منتشرشده، زوم توانسته است در مارس گذشته به ۲۰۰ میلیون کاربر روزانه دست پیدا کند که این میزان در دسامبر ۱۰ میلیون کاربر بود. ازاینرو، بسیاری از افراد همواره روی امنیت زوم و نقضنشدن حریم خصوصی آن متمرکز بودهاند.
بررسیهای دقیق شماری از مشکلات زوم را آشکار کرده است. برقراری تماس ازطریق این اپلیکیشن کاری ساده بهشمار میآید؛ بههمیندلیل، افراد زیادی تمایل دارند از آن استفاده کنند؛ اما شماری از کارشناسان معتقد هستند روند برقراری تماس بیشازحد ساده است و مشکلاتی درزمینهی امنیت و حریم خصوصی ایجاد میکند. فایل نصب زوم برای سیستمعامل macOS عملکردی شبیه به بدافزار داشت که البته این مشکل هماکنون رفع شده است. همچنین، نسخهی ویندوز زوم نوعی آسیبپذیری داشت که اخبار جدید از رفع این مشکل نیز خبر میدهند.
دیدگاه شما کاربران زومیت دربارهی اپلیکیشن زوم و مشکلاتش چیست؟
نظرات