Сайт WebinarTV, который собирает и публикует записи Zoom-эфиров, разместил у себя видео встреч анонимных групп помощи, собраний для людей с зависимостями, пациентов с хроническими заболеваниями и их близких. Об этом 13 апреля сообщило издание 404 Media. По данным публикации, сервис выкладывал такие записи без явного согласия организаторов, а в ряде случаев участники, судя по всему, вообще не знали, что встреча попала на сторонний сайт.
На WebinarTV появились записи встреч, связанных с программами «12 шагов», группой помощи людям с паническими состояниями и тревожностью, а также с сообществами пациентов и ухаживающих родственников. На опубликованных видео были видны лица участников и их полные имена. Для таких форматов встреч это особенно чувствительно: анонимность здесь часто является не формальностью, а частью самой модели взаимопомощи.
Одним из подтверждённых примеров стала Zoom-встреча, которую проводил фонд Graves’ Disease & Thyroid Foundation. Исполнительный директор организации Кимберли Доррис публично предупредила сообщества пациентов, что встреча, предназначенная для частного обсуждения, оказалась загружена на WebinarTV. На сайте фонда сохранилось отдельное предупреждение: организаторы подчёркивают, что запись не планировалась, а доступ к встрече выдавался не автоматически, а после регистрации и проверки участников.
По описанию фонда, чтобы попасть на встречу, нужно было заполнить анкету, указать, что человек участвует как родственник или близкий пациента, а затем дождаться допуска через «зал ожидания» — так в Zoom называется режим, при котором организатор вручную впускает каждого участника. Это важно, потому что история не похожа на случай, когда открытый эфир просто транслировали для всех желающих без ограничений. Напротив, организаторы описывают встречу как пространство для ограниченного круга людей, где ожидалась приватность.
Сам WebinarTV через своего представителя Майкла Робертсона заявил 404 Media, что сервис работает только с Zoom Webinars, а не с обычными Zoom Meetings, и что такие эфиры якобы по своей природе являются публичными трансляциями. Он также сказал, что платформа связывается с организаторами, чтобы предложить им «продвижение», и что удалить запись можно в один клик. При этом 404 Media приводит примеры, когда публикация происходила раньше, чем организаторы узнавали о существовании записи, а некоторые вообще не давали на это согласия.
Zoom ещё в марте комментировал похожую историю с WebinarTV. Представитель компании сообщил 404 Media, что, по результатам проверки, сервис получает доступ к встречам по публично размещённым ссылкам, а затем записывает их через расширения браузера или другие внешние инструменты. Zoom отдельно подчеркнул: если запись ведётся на устройстве участника и вне инфраструктуры самой платформы, технически полностью предотвратить такую запись невозможно. Иными словами, речь пока не идёт о подтверждённой уязвимости Zoom как сервиса — скорее о спорном и агрессивном способе использования внешних инструментов и открытых ссылок на мероприятия.
В мартовском расследовании 404 Media рассказывало, что WebinarTV, по собственным заявлениям, разместил более 200 тысяч записей Zoom-мероприятий, а часть из них затем превращал в сгенерированные ИИ-аудиопересказы. Тогда в истории фигурировала встреча американских учителей, обсуждавших защиту школьников от иммиграционных рейдов: запись тоже попала на сайт без разрешения организаторов.
Дополнительные подтверждения появились и вне 404 Media. На официальном форуме Zoom пользователи ещё раньше жаловались, что после проведения встречи получали письма от WebinarTV с уведомлением о том, что их «вебинар» опубликован на стороннем сайте, хотя они не соглашались на запись и предполагали, что в мероприятие вошёл подставной участник. Университет Йорка в Канаде выпустил отдельное предупреждение об угрозе несанкционированного копирования онлайн-встреч через подобные сервисы и внешние расширения браузера.
Zoom сам рекомендует использовать инструменты защиты вебинаров: настраивать регистрацию, ограничивать доступ, включать водяные знаки и внимательнее относиться к тому, какие ссылки публикуются в открытом доступе. Но случай с WebinarTV показывает, что даже регистрация и ручной допуск не всегда спасают, если кто-то получает ссылку легальным на вид способом, заходит как участник и записывает всё локально, уже на своём устройстве.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
