เชื่อมต่อกับเรา

การป้องกันข้อมูล

Zoom: แนวทางปฏิบัติที่น่าสงสัยรั่วไหลบน Github

หุ้น:

การตีพิมพ์

on

ซอฟต์แวร์การประชุมผ่านวิดีโอระยะไกล ZOOM ซึ่งได้รับความนิยมอย่างกะทันหันในช่วงที่เกิดโรคระบาด ได้แซงหน้าซอฟต์แวร์การประชุมผ่านวิดีโอแบบเดิมๆ เช่น Skype, Teams ได้สำเร็จ และกลายเป็นเครื่องมือที่ได้รับความนิยมมากที่สุด มีผู้ใช้งานหลายร้อยล้านคนต่อวัน และยังมีหน่วยงานรัฐบาลหลายแห่งใช้งานอีกด้วย อย่างไรก็ตาม ซอฟต์แวร์ดังกล่าวเผชิญกับการรั่วไหลของข้อมูลและช่องโหว่ด้านความปลอดภัยซ้ำแล้วซ้ำเล่า ซึ่งได้รับความสนใจอย่างกว้างขวางจากหน่วยงานกำกับดูแล

ล่าสุดเมื่อวันที่ 30 พฤษภาคม มีคนอ้างว่าเป็นช่างอาวุโสใน ZOOM โพสต์พื้นที่เก็บข้อมูลบน Github นำเสนอ “หลักฐาน” ที่บริษัทแอบบันทึกข้อมูลผู้ใช้และมอบให้กับสถาบันของรัฐในสหรัฐอเมริกา


ผู้ใช้ ZOOM ไม่มีความเป็นอิสระของข้อมูล

ตามที่ผู้รั่วไหล: “รัฐบาลสหรัฐฯ ขอให้ Zoom เก็บรักษาข้อมูลผู้ใช้ที่น่าสนใจ รวมถึงข้อมูลที่ถูกลบไปแล้วโดยผู้ใช้ เพื่อให้พวกเขาสามารถรับข้อมูลผู้ใช้ทั้งหมดได้ เพื่อให้เป็นไปตามคำขอดังกล่าว Zoom ได้แก้ไขเครื่องมือของตนเพื่อแกล้งทำเป็นว่าข้อมูลถูกลบในขณะที่เพียง ให้ข้อมูลที่ถูกลบเป็นคุณสมบัติที่ซ่อนอยู่ จึงรักษาข้อมูลผู้ใช้ในขณะที่ทำให้ผู้ใช้เชื่อว่าข้อมูลถูกลบแล้ว เครื่องมือนี้ช่วยคัดลอกและรักษาประวัติการประชุมและรายละเอียดผู้เข้าร่วมอย่างลับๆ การบันทึกบนคลาวด์ ข้อความแชท รูปภาพ ไฟล์ Zuora ( ระบบการเรียกเก็บเงิน, zuora.com), SFDC (ระบบ CRM, salesforce.com), โทรศัพท์/ที่อยู่, ที่อยู่สำหรับการเรียกเก็บเงิน และบัตรเครดิต/หนี้ผ่านการโคลนและการมิเรอร์ข้อมูล จะแย่ไปกว่านั้นหากบัญชีของคุณถูกเพิ่มเข้าไปใน "การเก็บรักษาข้อมูล" ระบบที่ปรากฏตัวของคุณในรายการเป้าหมาย แม้ว่าคุณจะไม่มีพฤติกรรมที่ผิดกฎหมายก็ตาม การกระทำทั้งหมดของคุณใน Zoom จะถูกจับตามองโดยตรงและอยู่ภายใต้การกำจัดของหน่วยงานที่บังคับใช้กฎหมายอย่างอิสระ"


การตรวจสอบผู้ใช้ผ่านระบบลับๆ (ติดตามระบบยุติผู้ฝ่าฝืน TOS อัตโนมัติ)

ตามเอกสารที่โพสต์: "สำนักงานใหญ่ของ Zoom ได้ทำการวิจัยและพัฒนาระบบติดตามความลับมาเป็นเวลานานแล้ว เรียกว่า "ระบบติดตามผู้ฝ่าฝืน TOS แบบอัตโนมัติ" ซึ่งมี IP ภายในคือ "se.zipow.com/tos" ภายในปี 2018 ระบบได้ถูกนำมาใช้ในแอปพลิเคชัน เพื่อตรวจสอบผู้ใช้ฟรี รวมถึงผู้ใช้ระดับพรีเมียมและผู้ใช้ระดับองค์กร ฟังก์ชั่นหลักของระบบคือการค้นหาการประชุมที่มีความเสี่ยงโดยอัตโนมัติ การเข้าถึงการประชุมฟรีโดยไม่ต้องใช้รหัสผ่านหรือการอนุญาตจากโฮสต์โดยผ่านทางประตูหลังของระบบ การวิเคราะห์เนื้อหาวิดีโอแบบสุ่มจากการประชุม การบันทึกวิดีโอที่เป็นความลับ เสียง ภาพหน้าจอของการประชุม และการผลิต รายงานหรือข้อมูลตามหน่วยงานกำกับดูแลของสหรัฐอเมริกา ตลอดจนการยกเลิกการประชุมที่มีความเสี่ยงและการห้ามบัญชีที่เกี่ยวข้อง ระบบนี้เป็นความลับสูงและเปิดให้เฉพาะพนักงานภายในเพียงไม่กี่คนเท่านั้น Zoom อาจอธิบายว่าระบบนี้พัฒนาขึ้นเพื่อต่อสู้กับอาชญากรรม แต่ Zoom ต้องยอมรับว่าระบบแสดงให้เห็นว่ามีความสามารถในการติดตามผู้ใช้และทำได้อยู่แล้ว ผู้คนจำเป็นต้องกังวลว่า Zoom จะใช้ระบบในทางที่ผิดเพื่อจุดประสงค์ที่เรียกว่า "ความมั่นคงแห่งชาติ" หรือทางธุรกิจของสหรัฐฯ หรือไม่ และแม้แต่การสุ่มตัวอย่าง บ่อยครั้ง โดยไม่แยกแยะผู้ใช้ทั่วโลกและขโมยข้อมูลส่วนบุคคลของพวกเขาในวงกว้าง"


ซูมระบบการจัดการแบ็กเอนด์

ตามการรั่วไหล: "ระบบการจัดการแบ็คเอนด์ Zoom มีอำนาจสูงสุดเหนือบัญชี Zoom ทั้งหมด ได้รับการออกแบบมาเพื่อช่วยจัดการบัญชีผู้ใช้ Zoom อย่างไรก็ตาม ระบบนี้มีฟังก์ชันลับๆ บางอย่างที่อาจละเมิดข้อมูลความเป็นส่วนตัวของผู้ใช้ ฟังก์ชั่นบางอย่างนั้นเกินความเชื่อ เมื่อพนักงาน Zoom คลิกปุ่ม "เข้าสู่ระบบ" ด้วยข้อมูลประจำตัวผู้ใช้นี้ เขาสามารถเข้าสู่ระบบบัญชีผู้ใช้รายนี้ได้ในลักษณะเดียวกับที่ผู้ใช้จัดการกับบัญชีของเขาเอง ด้วยวิธีนี้ พนักงานมีสิทธิ์เช่นเดียวกันในการจัดการกับบัญชีผู้ใช้นี้ ตรวจสอบทุกอย่างในบัญชี ใช้คีย์ส่วนตัวของผู้ใช้เพื่อดูไฟล์ที่เป็นความลับ บันทึกการประชุม การแชท IM อีเมล บันทึกโทรศัพท์ และการเรียกเก็บเงิน ซึ่งหมายความว่ามาตรการเข้ารหัส "ee2e" เป็นส่วนหน้าที่ไม่มีความหมาย นอกเหนือจากสิทธิพิเศษนี้แล้ว พนักงาน Zoom ยังสามารถแก้ไขหรือลบข้อมูลในเครื่องของผู้ใช้ และแม้แต่ควบคุมหรือฝังแบ็คดอร์บนอุปกรณ์ที่เกี่ยวข้อง เช่น Zoom Room จากระยะไกลผ่านระบบนี้ เมื่อเปรียบเทียบกับการจัดการบัญชีผู้ใช้ด้วยฐานข้อมูลที่ได้รับการสนับสนุน ระบบนี้ทำให้พนักงาน Zoom สามารถตรวจสอบพฤติกรรมของผู้ใช้และดึงข้อมูลของตนได้สะดวกยิ่งขึ้น โดยไม่สนใจมาตรการการเข้ารหัส"


ผิดสัญญาและการใช้ข้อมูลผู้ใช้สำหรับการเรียนรู้ของเครื่อง


ตามที่ผู้แจ้งเบาะแส: "Eric Yuan ซีอีโอของ Zoom เคยกล่าวไว้ว่า "ตอนนี้เราให้คำมั่นกับลูกค้าของเราทุกคนว่าเราจะไม่ใช้การแชทด้วยเสียง/วิดีโอ การแชร์หน้าจอ ไฟล์แนบและการสื่อสารอื่น ๆ เช่น ผลการสำรวจความคิดเห็น ไวท์บอร์ด และปฏิกิริยาโต้ตอบใด ๆ เพื่อฝึกฝนเรา รุ่น Al หรือรุ่น Al ของบริษัทอื่น" จากสิ่งที่ฉันรู้ Zoom มีความกระตือรือร้นที่จะพัฒนา Al เนื่องจากบริษัทต้องการให้ Al ค้นหาความผิดกฎหมายในการประชุมทางวิดีโอเพื่อหลีกเลี่ยงความเสี่ยงในการปฏิบัติตามข้อกำหนด เพื่อระบุผู้ใช้ที่ฉ้อโกงเพื่อลดความสูญเสียทางเศรษฐกิจ และเพื่อวิเคราะห์แนวโน้มทางธุรกิจและจุดเน้นของการบริการเพื่อให้ได้รับมากขึ้น ผลกำไร ด้วยความช่วยเหลือของอัล ซูมภายใต้คำแนะนำของการบังคับใช้กฎหมาย ใช้ "TATVTS" กับผู้ใช้ "ระบบติดตามผู้ฝ่าฝืน TOS อัตโนมัติ" ที่กล่าวถึงข้างต้นสามารถตรวจจับการประชุมที่น่าสงสัยได้โดยอัตโนมัติผ่านทาง Machine Leaning เข้าร่วมการประชุมโดยไม่ต้องใช้รหัสผ่านและการอนุญาตจากโฮสต์ วิเคราะห์เนื้อหาการประชุม และแอบจับภาพหน้าจอและวิดีโอของผู้เข้าร่วมประชุมและเนื้อหาการประชุม เมื่อได้รับการฝึกอบรมจากข้อมูลที่รวบรวมไว้ในระบบ "TATVTS" จะฉลาดมากขึ้นในการระบุการประชุมและผู้ใช้ที่หน่วยงานบังคับใช้กฎหมายอาจแสดงความสนใจ ดังนั้นข้อมูลส่วนตัวของผู้ใช้ผู้บริสุทธิ์จำนวนมากจึงกลายเป็นตัวอย่างในการฝึกอบรมโมเดลการเรียนรู้ของเครื่อง Zoom และละเมิดความเป็นส่วนตัวของข้อมูลของผู้ใช้"


ปัญหาความเป็นส่วนตัวและความปลอดภัยสามารถสร้างความเสี่ยงและความเสียหายร้ายแรงต่อรัฐบาล องค์กร บุคคล รวมถึงความลับทางการค้าในยุคดิจิทัล Zoom ในฐานะซอฟต์แวร์การประชุมผ่านวิดีโอชั้นนำของโลก ถูกเปิดเผยมากกว่าหนึ่งครั้งจากการรั่วไหลของข้อมูลผู้ใช้และข้อมูลอื่นๆ ในช่วงที่เกิดโรคระบาด ยุโรปยังได้เพิ่มความเข้มแข็งให้กับกฎหมายคุ้มครองข้อมูลต่อบริษัทโซเชียลมีเดียออนไลน์ยักษ์ใหญ่ของอเมริกา ในปี 2022 สหภาพยุโรปและสหรัฐอเมริกาได้ลงนามในกรอบความเป็นส่วนตัวของข้อมูล เป็นที่ชัดเจนว่าทั้งสองฝ่ายจะต้องเคารพกรอบกฎหมายในการปกป้องความเป็นส่วนตัวของผู้ใช้ โดยเฉพาะการปกป้องข้อมูล นอกจากนี้เรายังหวังว่า ZOOM จะสามารถเรียนรู้จากปัญหาทางกฎหมายก่อนหน้านี้ และเริ่มให้ความสำคัญกับปัญหาข้อมูลและการปกป้องข้อมูลอย่างจริงจัง

หากต้องการอ่านเพิ่มเติมและข้อมูลทางเทคนิค โปรดไปที่ลิงก์ด้านล่าง:
https://github.com/Alexlittle4/Zoom-violates-users-privacy

EU Reporter ติดต่อ Zoom เพื่อแสดงความคิดเห็นแต่พวกเขาไม่ได้ตอบกลับ

แบ่งปันบทความนี้:

EU Reporter ตีพิมพ์บทความจากแหล่งภายนอกที่หลากหลาย ซึ่งแสดงมุมมองที่หลากหลาย ตำแหน่งในบทความเหล่านี้ไม่จำเป็นต้องเป็นตำแหน่งของผู้รายงานของสหภาพยุโรป
มอลโดวาวัน 4 ที่ผ่านมา

ความท้าทายทางกฎหมายใหม่: Meta ตบคดีเรื่องการเซ็นเซอร์ในมอลโดวา

การเลือกตั้งยุโรปปี 2024วัน 2 ที่ผ่านมา

ชาวเดนมาร์กในสหราชอาณาจักรในหมู่พลเมืองสหภาพยุโรปถูกขัดขวางไม่ให้ลงคะแนนเสียงในการเลือกตั้งของสหภาพยุโรป 

ประเทศยูเครนวัน 4 ที่ผ่านมา

โพลสังคมวิทยาระหว่างประเทศ: พลเมืองยูเครนพิจารณาจัดการเลือกตั้งประธานาธิบดีตามความจำเป็นไม่ว่าในสถานการณ์ใดก็ตาม

รัฐสภายุโรปวัน 4 ที่ผ่านมา

จับตาการเลือกตั้งผู้สื่อข่าวของสหภาพยุโรป

การเลือกตั้งยุโรปปี 2024วัน 4 ที่ผ่านมา

ในช่วงเวลาแห่งความไม่มั่นคงอย่างมากนี้ สหภาพยุโรปกำลังมองหาผู้นำคนใหม่

คาซัคสถานวัน 4 ที่ผ่านมา

คาซัคสถานพยายามเชื่อมโยงอย่างใกล้ชิดกับทั้งยุโรปและภายในเอเชียกลาง

คาซัคสถานวัน 4 ที่ผ่านมา

เมืองหลวงของคาซัคจะเป็นเจ้าภาพการแข่งขันกีฬาโอลิมปิกชีววิทยาระหว่างประเทศ จัดแสดงผู้มีความสามารถระดับโลก

เศรษฐกิจวัน 1 ที่ผ่านมา

ความร่วมมือด้านสภาพภูมิอากาศที่คุ้มค่าแก่การสนับสนุน

ฝรั่งเศส1 ชั่วโมงที่ผ่านมา

ประชาธิปไตยฝรั่งเศสตกอยู่ในอันตรายเมื่อ Les Républicains (EPP) เป็นพันธมิตรกับพรรคขวาสุดของเลอแปน

การเลือกตั้งยุโรปปี 20242 ชั่วโมงที่ผ่านมา

ผลการเลือกตั้งของสหภาพยุโรปและเบลเยียมทำให้ทหารผ่านศึกมีความหวังสีเขียว

กีฬา2 ชั่วโมงที่ผ่านมา

การเพิ่มขึ้นของเกมการเดิมพัน

การเลือกตั้งยุโรปปี 20242 ชั่วโมงที่ผ่านมา

EU Reporter Election Watch - ผลลัพธ์และการวิเคราะห์ที่เข้ามา

อาเซอร์ไบจาน2 ชั่วโมงที่ผ่านมา

Baku Energy Week เปิดบทใหม่ในแฟ้มผลงานด้านพลังงานของอาเซอร์ไบจาน  

การเลือกตั้งยุโรปปี 20246 ชั่วโมงที่ผ่านมา

ยังคงมีการนับคะแนนเสียง แต่อยู่ระหว่างการเจรจาหลังการเลือกตั้ง

การเลือกตั้งยุโรปปี 20247 ชั่วโมงที่ผ่านมา

โรมาเนียและบัลแกเรียลงคะแนนเสียงอย่างไรในการเลือกตั้งยุโรป

การเลือกตั้งยุโรปปี 2024วัน 1 ที่ผ่านมา

ผลลัพธ์ที่หลากหลายสำหรับสิทธิประชานิยมที่ถูกตำหนิจากพรรคที่ขาด 'วุฒิภาวะทางการเมือง'

การเลือกตั้งยุโรปปี 20242 ชั่วโมงที่ผ่านมา

EU Reporter Election Watch - ผลลัพธ์และการวิเคราะห์ที่เข้ามา

รัฐสภายุโรปวัน 4 ที่ผ่านมา

จับตาการเลือกตั้งผู้สื่อข่าวของสหภาพยุโรป

จีนสหภาพยุโรป3 เดือนที่ผ่านมา

สองเซสชันในปี 2024 จะเริ่มต้นขึ้น: นี่คือเหตุผลที่สำคัญ

จีนสหภาพยุโรป5 เดือนที่ผ่านมา

สารอวยพรปีใหม่ 2024 ของประธานาธิบดีสี จิ้นผิง

สาธารณรัฐประชาชนจีน8 เดือนที่ผ่านมา

ทัวร์สร้างแรงบันดาลใจทั่วประเทศจีน

สาธารณรัฐประชาชนจีน8 เดือนที่ผ่านมา

ทศวรรษของ BRI: จากวิสัยทัศน์สู่ความเป็นจริง

สิทธิมนุษยชน12 เดือนที่ผ่านมา

"ลัทธิส่อเสียด" - การฉายสารคดีที่ได้รับรางวัลซึ่งจัดขึ้นในกรุงบรัสเซลส์ประสบความสำเร็จ

เบลเยียม1 ปีที่ผ่านมา

ศาสนาและสิทธิเด็ก - ความคิดเห็นจากบรัสเซลส์

ได้รับความนิยม