Zoom lekte persoonlijke informatie van duizenden gebruikers

Zoom, het programma om met elkaar te videobellen, heeft van minstens duizenden gebruikers gevoelige informatie gelekt, waaronder e-mailadressen en foto’s. Ook konden mensen die je niet kent zomaar proberen een videogesprek met je te starten.

Het probleem zat in de Company Directory-functie, die ervoor zorgt dat je automatisch gebruikers in je contactenlijst krijgt die een e-mailadres van hetzelfde domein hebben. Dat is bijvoorbeeld handig voor bedrijven, omdat je zo makkelijk al je collega’s kunt vinden. Meerdere Zoom-gebruikers zeggen echter dat ze met hun persoonlijke e-mailadres waren ingelogd en vervolgens werden gekoppeld aan duizenden andere mensen die ze niet kenden – alsof ze voor hetzelfde bedrijf werkten. Hun persoonlijke gegevens werden daarbij ook zichtbaar.

“Ik ben er erg van geschrokken. Ik meldde me aan (niet met mijn echte naam, gelukkig) en zag ineens namen, profielfoto’s en e-mailadressen van 995 mensen die ik helemaal niet kende,” schrijft Barend Gehrels, een Zoom-gebruiker die het probleem aan Motherboard meldde, in een e-mail.

Gehrels stuurde ook een geblurd screenshot mee, waarop de bijna duizend accounts in de Company Directory-sectie te zien zijn. “Allemaal mensen die ik natuurlijk niet ken,” zei hij erover. Hij zegt dat zijn partner hetzelfde had met een andere e-mailprovider, en meer dan driehonderd mensen bij haar contacten had gekregen.

“Als je je aanmeldt bij Zoom met een niet-standaard provider (dus geen Gmail, Hotmail of Yahoo en zo), krijg je toegang tot ALLE aangemelde gebruikers van die provider: hun volledige naam, e-mailadres en profielfoto (als ze die hebben) en hun status. En je kunt ze ook videobellen,” zegt Gehrels. Als je door een onbekende gebeld wordt moet je die oproep natuurlijk wel eerst accepteren.

Op zijn website schrijft Zoom: “In de Company Direction-sectie bevat uw contactenlijst standaard interne gebruikers uit dezelfde organisatie, die ofwel hetzelfde account of een e-mailadres uit hetzelfde domein hebben (behalve bij publieke domeinen als gmail.com, yahoo.com, hotmail.com, et cetera).”

Daarmee worden echter niet alle domeinen uitgesloten die mensen voor hun persoonlijke e-mail gebruiken. Gehrels gaf aan dat hij het probleem heeft gezien bij xs4all.nl, dds.nl, and quicknet.nl – alle drie Nederlandse internetaanbieders waar je ook een e-mailadres van kunt aanmaken.

Nederlandse gebruikers hebben het probleem dan ook al eerder onder de aandacht gebracht op Twitter. “Ik keek eens naar de gratis privéversie van Zoom en meldde me aan met mijn persoonlijke e-mailadres. Ik heb nu 1000 namen, e-mailadressen en zelfs foto’s in de Company Directory. Is dat de bedoeling?” tweette gebruiker Jeroen J. V Lebon bijvoorbeeld vorige week.

Xs4all reageerde zondag op deze klacht: “Dit is iets wat wij niet kunnen uitschakelen. Je zou kunnen kijken of Zoom je hier verder mee kan helpen.”

DDS schreef in een e-mail dat ze op de hoogte zijn van het probleem, maar nog geen klachten hadden gekregen van klanten.

“Zoom heeft een zwarte lijst van domeinen en onderzoekt regelmatig proactief of daar domeinen aan toegevoegd moeten worden,” laat een woordvoerder van Zoom aan Motherboard weten. “De domeinen die jullie hebben gemeld staan daar nu ook op.” Zoom verwijst ook naar een pagina op de website van Zoom waar gebruikers kunnen verzoeken om domeinen uit de Company Directory-functie te laten verwijderen.

Afgelopen week werd de iOS-versie van de Zoom-app geüpdatet, nadat Motherboard erachter was gekomen dat Zoom analysegegevens met Facebook deelde. Vanwege dat laatste startte een gebruiker maandag ook een groepsvordering tegen Zoom. Op dezelfde dag stuurde de procureur-generaal van New York een brief naar het bedrijf, met de vraag welke veiligheidsmaatregelen ze hadden genomen nu de populariteit van het programma zo was toegenomen.

Dit artikel verscheen oorspronkelijk op VICE US.