Вас тоже «бомбили» в Zoom? Это началось в марте и продолжается до сих пор
Во время карантина популярность платформы видеоконференцсвязи Zoom возросла в несколько раз. Большинство сотрудников и учащихся, которых перевели на удаленку, пользовались (и продолжают пользоваться) именно этим ресурсом.
Как и многие другие профессора, Карен Уилсон начала вести онлайн-уроки на Zoom в конце марта.
«Через десять минут после начала моей лекции я услышала чей-то смех. Затем кто-то поинтересовался, что это за класс?». Когда Уилсон спросила, что происходит, «пара девочек в унисон ответили, что они должны быть в онлайн-классе средней школы, но что-то перепутали. После чего они сразу же отключились».
Но, оказалось, что все только начинается.
«Через некоторое время другой неизвестный человек, на этот раз мужчина, начал посреди моей лекции рекламировать курение марихуаны. Его не было видно, только слышно. Я попросила его уйти, что, к счастью, он и сделал довольно быстро».
Карен объясняет, что, поскольку она была новичком в Zoom и не имела никакого опыта управления конференцией, то появление чужаков сбивало ее с толку и дезориентировало всех присутствующих.
«Если бы я была лучше знакома с Zoom, я бы немедленно отключила звук у всех, но я никогда раньше не думала, что другие люди могут каким-то образом тоже “войти” в наш класс», – признается Карен.
Just minutes in, we were #Zoombombed, during testimony from @SalDiDomenico. The person used both verbal and physical vulgarities. Tremendous staff of @SoniaChangDiaz and @RepKayKhan removed the individual from the hearing.
— Senator Becca Rausch (@BeccaRauschMA) April 13, 2020
Это явление быстро получило название Zoom Bombing (Zoom-бомбежка). Это когда незнакомцы вторгаются на собрания других людей в Zoom. Иногда эти люди могут просто подслушивать, и никто не знает, что они там. Но порой они полностью срывают конференции разными глупыми способами.
Немало случаев, когда участники вынуждены слушать ругательства, угрозы и даже видеть порнографические изображения.
Особенно пугает, когда такое происходит на школьных уроках, и свидетелями подобного становятся дети.
Но каким образом кто-то может просто «заглянуть» на чужую конференцию?
«Бомбежка Zoom – это не что иное, как набор различных комбинаций URL-адресов в браузере», – объясняет Дэн Деско, эксперт по кибербезопасности из бухгалтерской фирмы Schneider Downs из Колумбуса, штат Огайо.
Он приводит пример: чтобы найти встречу Zoom, вы вводите URL-адрес Zoom.us/ плюс строку чисел, которая служит идентификационным номером собрания (например, https://zoom.us/j/55555523222).
«Проблема заключается в том, что люди не используют пароли, и, просто изменив пару цифр, вы потенциально можете попасть на чужую встречу», – говорит он.
Для наглядности этого Дэн сам попробовал попасть на чужую конференцию. Примерно через минуту подбора цифр он наткнулся на действующий идентификатор встречи, но в тот конкретный момент ее не было. «Технически это похоже на прослушивание телефонных разговоров или возможность шпионить за кем-то», – говорит Деско.
Но почему именно в Zoom?
Частично из-за того, что популярность Zoom во время пандемии коронавируса выросла с 10 миллионов ежедневных пользователей в декабре 2019 года до 200 миллионов в марте-апреле. Платформа просто не была готова к такому наплыву людей, желающих использовать ее для учебы, работы и общения с друзьями.
«Zoom – это в первую очередь инструмент корпоративной совместной работы, который позволяет людям беспрепятственно сотрудничать. В отличие от социальных сетей, эта платформа и не ставила своей задачей разрабатывать способы блокировки хулиганов – до сих пор», – говорит Дэвид Таффли, преподаватель курса «Прикладная этика и социально-технические исследования в Университете Гриффита» в Австралии – Их пользовательская база сильно выросла, и случаи плохого поведения тоже».
Внезапный рост трафика выявил и другие недостатки в безопасности – например, учетные записи в даркнете и отсутствие шифрования.
ФБР выпустило предупреждение о Zoom bombing еще 30 марта, после чего некоторые организации решили вообще запретить Zoom для рабочих конференций. Например, Google не позволяет своим сотрудникам использовать его на своих ноутбуках.
This morning I chaired the first ever digital Cabinet.
Our message to the public is: stay at home, protect the NHS, save lives. #StayHomeSaveLives pic.twitter.com/pgeRc3FHIp
— Boris Johnson (@BorisJohnson) March 31, 2020
По словам Деско, эти последствия закономерны, потому что Zoom не удалось исправить свои недостатки достаточно быстро.
«В сфере информационной безопасности и кибербезопасности мы говорим о трех вещах: конфиденциальности, целостности и доступности, – объясняет Деско. – Люди хотят, чтобы их встречи (и деловые, и личные) были максимально конфиденциальными».
Кроме того, по его словам, лаборатория Citizen Lab в Университете Торонто «показала, что технология шифрования, которую предполагал использовать Zoom, не была такой сильной, как они говорили. На самом деле они используют технологию шифрования, которую можно легко взломать».
Хотя Zoom исправил некоторые недостатки в системе безопасности, но сообщения о «бомбардировках» продолжают поступать до сих пор.
И снова Китай?
Для расширения своих серверных мощностей, Zoom начал использовать серверы в Китае с китайскими сотрудниками. «Многие люди ставят под сомнение конфиденциальность в подобных обстоятельствах, – говорит Деско. – Это одна из причин, по которой Сенат США попросил своих членов воздержаться от использования Zoom. Пентагон 10 апреля последовал их примеру.
Что делает Zoom для прекращения «бомбежек»?
Zoom изменил свои настройки по умолчанию, так что каждому собранию автоматически назначается пароль, необходимый для входа. Кроме того, при настройке встречи теперь автоматически включается функция «комнаты ожидания». Это не позволяет пользователям присоединиться к вызову до того, как их проверят. К тому же, идентификационный код собрания перестал отображаться в строке заголовка во время собрания Zoom.
Деско считает, что эти меры будут иметь большое значение для прекращения «бомбардировок» Zoom. «Следует держать идентификатор встречи в секрете, чтобы люди не могли связать его с вами или вашей компанией», – говорит он.