Flo's Weblog | Apple News and more... Alles über Apple und Gadgets

Und immer wenn du denkst, noch einen können sie nicht draufsetzen, holen sie so ein Ding raus. Aktuell boomen aufgrund der Coronakrise vor allem auch Plattformen für Videokonferenzen, wie beispielsweise Microsoft Teams, Cisco WebEx oder Zoom. Letzterer Dienst handelt sich allerdings derzeit zumindest aus technischer Sicht mehr negative als positive Schlagzeilen ein. Nachdem erst kürzlich bekannt wurde, dass die iOS-App von Zoom für den Nutzer nicht erkennbar und ungefragt Daten an Facebook verschickte. Und das auch dann, wenn dieser gar nicht über ein Konto auf dem sozialen Netzwerk verfügt. Anfang der Woche kam dann noch ans Licht, dass Zoom mit einer Ende-zu-Ende Verschlüsselung seines Dienstes wirbt, diese aber überhaupt nicht realisiert.

Nun kommt der nächste Hammer. So haben die Kollegen von Motherboard herausgefunden, dass Zoom offenbar sehr offenherzig mit den persönlichen Daten seiner Nutzer umgeht. So sind unter anderem die E-Mail Adresse und das Foto von mehreren tausend Nutzern für andere Nutzer sichtbar, ohne dass man sich mit diesen explizit verbunden hätte. Das Problem liegt dabei offenbar im sogenannten "Company Directory" von Zoom, in das automatisch Nutzer aufgenommen werden, wenn sie dieselbe Mail-Domain verwenden. Zwar wird es hierdurch einfacher, Kollegen zu finden und mit diesem eine virtuelle Konferenz zu starten, allerdings werden hierdurch auch Nutzer mit Mail-Domains von kleineren Providern (Dienste wie Hotmail, Yahoo, Gmail und Co. sind offenbar nicht betroffen) zusammengefasst, als ob sie für dasselbe Unternehmen arbeiten würden. So berichtet ein Nutzer:

"I was shocked by this! I subscribed (with an alias, fortunately) and I saw 995 people unknown to me with their names, images and mail addresses. [...] If you subscribe to Zoom with a non-standard provider (I mean, not Gmail or Hotmail or Yahoo etc), then you get insight to ALL subscribed users of that provider: their full names, their mail addresses, their profile picture (if they have any) and their status. And you can video call them."

Auf seiner Webseite schreibt Zoom zum "Conpany Directory":

"By default, your Zoom contacts directory contains internal users in the same organization, who are either on the same account or who's email address uses the same domain as yours (except for publicly used domains including gmail.com, yahoo.com, hotmail.com, etc) in the Company Directory section."

Allerdings werden offenbar nicht alle Domains dabei herausgefiltert, so dass kleinere Mail-Endungen fälschlicherweise einem Unternehmen zugeordnet werden, was zu den angesprochenen Problemen führt. Der o.g. Nutzer berichtet, dass unter anderem die Domains der niederländischen Provider xs4all.nl, dds.nl und quicknet.nl betroffen sind. XS4ALL kommentierte das Problem bereits am Wochenende auf Twitter.

Vermoedelijk omdat je zelf een gebruiker hebt aangemaakt met @xs4all.nl en dit dus overeenkomt met andere XS4ALL gebruikers. Dit is iets wat wij niet kunnen uitschakelen. Je zou kunnen kijken of Zoom je hier verder mee kan helpen. *FJ

— XS4ALL (@xs4all) March 29, 2020

Sollte man selbst betroffen sein, kann man in einer speziellen Sektion der Zoom-Webseite das Entfernen einer Domain aus dem "Company Directory" Feature beantragen.

Erneut werfen die Datenschutz-Praktiken bei Zoom kein gutes Licht auf das Unternehmen. Neben den Problemen der vergangenen Tage entdeckten Sicherheitsforscher im vergangenen Jahr eine Lücke, durch den es Angreifern möglich war, die Webcam des Nutzers unbemerkt zu übernehmen. Über die beiden anderen oben genannten Apps (Microsoft Teams, Cisco WebEx ) sind derlei Probleme aktuell nicht bekannt. Wer also Bedenken bei der Nutzung von Zoom hat, sollte einen Wechsel in Betracht ziehen.