Informations personnelles sur des centaines de comptes Zoom trouvés sur le dark web

Sixgill déclare que ces informations d'identification peuvent être utilisées pour accomplir une pléthore d'activités frauduleuses, telles que l'écoute des appels d'entreprise et le vol d'identité, entre autres.

La firme de cybersécurité Sixgill a découvert un catalogue publié sur le dark web, affichant des informations liées à 352 comptes Zoom - des informations personnelles telles que les adresses e-mail, les mots de passe, les identifiants de réunion, les clés d'hôte et les noms d'hôte, selon Mashable.

Dans les commentaires sur ce post, plusieurs acteurs l'ont remercié et l'un d'eux a révélé son intention de troller les réunions", a déclaré Dov Lerner, chercheur en sécurité chez Sixgill. «Il existe un certain nombre de façons dont un acteur malveillant pourrait utiliser ces comptes volés.»

Les comptes ont chacun été désignés où certains qui ont été piratés payaient un service Zoom premium. Sixgill a noté que si la plupart des comptes appartenaient à des utilisateurs personnels, certains appartenaient à des établissements d'enseignement, à des entreprises et à un important fournisseur de soins de santé américain.

Zoom a récemment été critiqué pour des problèmes de sécurité concernant l'application et les politiques de l'entreprise liées à la divulgation des informations personnelles de ses utilisateurs à des entités tierces.

Les experts ont affirmé que le service peut également être utilisé par les employeurs pour garder un œil sur leurs employés à la maison. Il existe également un virus qui permet aux pirates de voler les mots de passe Windows via la plateforme.

Zoom Video Communications Inc a été assigné par un recours collectif intenté par l'un de ses actionnaires mardi, accusant l'application de vidéoconférence d'avoir exagéré ses normes de confidentialité et de ne pas avoir révélé que son service n'était pas chiffré de bout en bout.

L'actionnaire Michael Drieu a déclaré dans un dossier judiciaire qu'une série de récents rapports des médias mettant en évidence les failles de la vie privée dans la demande de Zoom avaient conduit les actions de la société au début de l'année, à chuter.

L'application de vidéoconférence est également poursuivie par un utilisateur après qu'il a été révélé que l'application envoie des informations sur Facebook à l'utilisateur, même s'il n'a pas de compte avec le géant des médias sociaux.

Zoom a connu une montée en popularité massive alors que les pays du monde entier se verrouillent contre le coronavirus, permettant aux entreprises et aux amis de se connecter  à partir de leur domicile. Mais lors du téléchargement et de l'ouverture de l'application, Zoom envoie des données à l'API Graph de Facebook, selon une analyse de l'activité réseau de l'application par la carte mère.

L'application envoie ensuite des données à Facebook concernant l'utilisateur, notamment en informant la société lorsque l'application est ouverte; les détails de l'appareil utilisé par l'utilisateur pour accéder à l'application, y compris la ville, le fuseau horaire et le modèle; quel opérateur téléphonique ils utilisent; et un identifiant d'annonceur unique, qui peut être utilisé par les entreprises pour cibler la publicité.

Will Strafach, fondateur de l'application Guardian, axée sur la confidentialité, a confirmé les conclusions de Motherboard selon lesquelles Zoom envoyait des données à Facebook.

"Je pense que les utilisateurs peuvent finalement décider de ce qu'ils pensent de Zoom et d'autres applications envoyant des balises à Facebook, même s'il n'y a aucune preuve directe de partage de données sensibles dans les versions actuelles", a-t-il déclaré à Motherboard dans un message direct sur Twitter.

Cependant, il semble que la politique de confidentialité de Zoom n'ait pas été assez loin pour informer les utilisateurs que ce transfert de données avait lieu.

Bien que la politique indique aux utilisateurs que Zoom peut collecter les «informations de profil Facebook» de l'utilisateur, elle ne mentionne pas qu'elle peut également envoyer des données à Facebook, même pour les utilisateurs qui n'ont pas de compte Facebook.

Il indique plutôt: "Nos fournisseurs de services tiers et partenaires publicitaires (par exemple, Google Ads et Google Analytics) collectent automatiquement des informations sur vous lorsque vous utilisez nos produits", mais ne mentionne pas spécifiquement Facebook.

Reuters et Donna Rachel Edmunds ont contribué à ce rapport.