Взлетевший на фоне коронавирусных ограничений американский сервис видеоконференций Zoom в последнее время теряет популярность. В этом году Zoom сократил 1300 сотрудников, или 15% своего штата. Основатель и глава компании Эрик Юань назвал себя ответственным «за допущенные ошибки». В их числе были и уязвимости, которые привели к утечкам данных пользователей Zoom. Несмотря на падение показателей, сервис остается главной площадкой для дистанционного общения — как делового, так и личного. Рассказываем, как повысить безопасность работы с Zoom.
Инструменты — настройки безопасности Zoom
Дисклеймер: настройки безопасности в Zoom отличаются в зависимости от того, залогинился пользователь или нет, есть ли у него платная подписка, использует ли он программу со смартфона или работает с ноутбука, а также пользуется ли он Windows или Mac.
Самая оптимальная стратегия: участвовать в созвонах по Zoom без аккаунта и прямо из браузера, тогда вы не оставляете почти никаких следов. Но для тех, кто пользуется Zoom постоянно и запускает конференции сам, это затруднительно. Тем более что недавно в Zoom появилось нововведение — необходимость ждать 5 минут после истечения 40 минут бесплатной конференции для запуска следующей. В результате все больше пользователей создают собственные аккаунты и покупают подписку.
Если у вас есть аккаунт:
— В разделе «Профиль» нажмите «Редактировать» и в поле «Отображаемое имя» укажите какой-нибудь набор букв и цифр вместо вашего имени-фамилии. Однажды это может помочь вам сохранить анонимность.
— Также для повышения уровня анонимности лучше убрать фото с аватарки.
— Остальные поля в разделе «Профиль» можно вовсе не заполнять.
— Не стоит связывать Zoom с вашим номером телефона, на работу с функционалом программы это не влияет.
— Замените электронную почту в своем профиле на ящик на protonmail, который, в идеале, больше нигде не используете.
— В бесплатной версии используйте двухфакторную аутентификацию (о ней подробно можно прочитать тут), в платной — OTP Authentication, он будет присылать дополнительный одноразовый код на ваш мейл при входе с нового устройства или из новой геолокации.
— Если вы давно не меняли пароль или он очень простой, смените его и нажмите на той же странице «Выйти из системы для всех устройств». Если кто-то уже смог авторизоваться в вашем аккаунте, это действие его «выбросит» и зайти заново злоумышленник не сможет из-за смены пароля.
— Zoom удобно интегрировать в другие программы вроде Google-календаря, но, если есть возможность не делать этого, лучше не стоит. Так вы тоже повышаете безопасность своих переговоров.
— Также безопасность значительно повысится при включении сквозного шифрования. Сделать это можно в «Управлении учетными записями» (доступно только для администратора) во вкладке «Конференция» в настройках учетной записи. Но, если кто-то из участников подключается прямо из браузера, сделать это он уже не сможет.
— Если вы точно знаете, какие ники должны участвовать в созвоне, удобнее всего использовать зал ожидания, откуда администратор впускает участников с никами по имеющемуся списку.
— В платных аккаунтах в настройках есть раздел «Параметры зала ожидания» с набором полезных настроек. В частности, там можно выбрать опцию задавать вопросы, и если вы не совсем уверены в том, кто стучится в конференцию, можно будет уточнить его имя и почту.
— В настройках раздела «Запланировать конференцию» лучше отключить все видео на старте, чтобы участники сами решали, включать ли камеру. Там же лучше включить запрет на вход участников до организатора.
— Обратите внимание на настройку «Чат конференции», где можно запретить его копирование, в результате сообщения нельзя будет даже скопировать в буфер обмена — только перепечатать вручную. Снимок экрана тоже можно запретить в настройках. Но, разумеется, надо помнить, что пользователь всегда может сфотографировать экран.
— Специалисты по безопасности советуют отключать опцию отправки файлов в чате, чтобы снизить риск распространения вредоносного кода.
— Также специалисты относят запись встречи к действиям, значительно повышающим риски. Тем, кто не подключился к звонку, лучше разослать краткий конспект.
— Если вы демонстрируете свой экран, проверьте, что именно вы показываете — нужное окно или весь монитор. Во втором случае пользователи увидят ваши закладки, программы на рабочем столе, могут увидеть пуши с сообщениями в чатах. Если выбираете второй вариант осознанно, не забудьте закрыть мессенджеры и личные документы.
— Помните, что в Zoom есть опция размыть фон — на случай, если вы бы не хотели показывать, где находитесь.
— И бонус: если захотите развеселить коллег, зайдите в раздел «Фоны и эффекты» во вкладку «Аватары», там можно заменить себя на говорящих зверюшек.
Меры предосторожности
Есть мнение, что конференция, для которой вам присылают код и пароль, более безопасна. Это миф, если вы не создаете человекочитаемую ссылку в платной версии, но эту опцию знают и используют единицы. На практике вы, скорее, будете забывать менять код, и участники предыдущих конференций в принципе смогут зайти и в текущие. В этом смысле запланированная конференция даже безопаснее, поскольку Zoom всегда создает для нее новый доступ.
Еще одно распространенное заблуждение — раскидать гиперссылку на созвон в какие-то массовые чаты и недооценивать риск, который создается в результате этого. Лучше рассылать ссылку участникам в личку или в специально созданный под конференцию чат в Signal, Element или в корпоративные чаты вроде Slack. При этом лучше выставлять автоудаление сообщения — на период, за который все участники точно пройдут по ссылке.
В качестве дополнительных материалов можно почитать пособие «Теплицы социальных технологий» по цифровой и комплексной безопасности, раздел о безопасности на онлайновых мероприятиях.
Примеры
Пик хакерских атак на Zoom-конференции приходился на 2020 год, когда на фоне коронавируса и изоляции туда переместилась значительная часть рабочего и личного общения людей. Хакеры продавали базу из 500 аккаунтов за бесценок, а The Washington Post сообщала о тысячах Zoom-бесед в открытом доступе на YouTube и Vimeo с конфиденциальной информацией пользователей. Хакеры использовали Zoom в разных форматах, начиная с создания замаскированных под Zoom страниц для получения личных данных пользователей, заканчивая подключением к видеоконференциям через генерацию случайных чисел, становившихся URL-адресами конференций. Zoom тогда устранил «дыры» в своей безопасности. Также сервису пришлось отключать автоматическую пересылку данных в адрес Facebook, который использовал их для показа таргетированной рекламы пользователям. Оказалось, что приложения на iOS отправляли данные даже тех пользователей, у которых не было аккаунтов в Facebook, а это не подразумевалось ни в каких пользовательских соглашениях. Несмотря на то что безопасность в Zoom улучшилась, хакеры и сейчас нередко получают доступ к конференциям.
Что мне с этого?
Сегодня в Zoom зачастую обсуждаются конфиденциальные рабочие вопросы, идут переговоры или личное общение. При этом уже были случаи утечек конференций, а также проникновения в них хакеров. Меры безопасности позволят вам сильно минимизировать риск того, что вас подслушивают.
— Южноафриканское дата-расследовательское медиа The Outlier проанализировало статистику убийств в ЮАР и пришло к выводу, что чаще других убивают советников районных муниципалитетов. Если в среднем в стране на 100 тысяч человек приходится 45 убийств, то в этой категории их 260. Советниками в ЮАР называют мэров и муниципальный совет. Их функции схожи с муниципальными чиновниками и депутатами в России: решение местных задач и обеспечение услуг. Всего в ЮАР 226 муниципалитетов. Они входят в 52 округа, а те, в свою очередь, в 9 провинций. Выборы советников проходят раз в 5 лет, последние были в ноябре 2021 года. С тех пор погибли 73 человека, треть были застрелены, а половина из них — в муниципалитетах провинции Квазулу-Натал.
— Американское расследовательское СМИ ProPublica подсчитало на основании отчетностей департаментов труда, что за 2017–2021 годы работодатели украли зарплату у 127 тысяч наемных сотрудников в Нью-Йорке на общую сумму $203 млн. Из них 25% хищений пришлось на сотрудников ресторанной отрасли. Возможно, причина в том, что более 60% работников ресторанов в Нью-Йорке — эмигранты, среди которых 44% латиноамериканцы и 20% азиаты, и безнаказанно нарушать права этой категории граждан несложно. Также много пострадавших среди сотрудников из сфер здравоохранения, строительства, клининга и розничных продаж. Форма, в которой у работников крадут зарплату, бывает разной, от выплат ниже обязательного минимума до удерживания чаевых или сверхурочных. ProPublica отдельно собрала интерактивную карту о компаниях — фигурантах 13 тысяч дел, возбужденных по этим фактам.
— Агентство Bloomberg выпустило интерактивное дата-исследование о состоятельных американцах, которые считают себя бедными. Агентство опросило более тысячи человек с уровнем дохода свыше $175 тысяч в год. Четверть опрошенных ответили, что они очень бедны, бедны или «дела идут туго». Материал завершается интерактивной анкетой, с помощью которой можно оценить свой уровень дохода относительно того или иного региона проживания.