变焦发现泄露个人用户数据 也可以方便窃取您的Windows登录凭证

Zoom的人气飙升似乎是公司喜忧参半，本周又出现了一个隐私问题，涉及数千名用户的个人信息泄露，向平台上的陌生人透露他们的电子邮件地址和照片，并可能使后者启动不必要的视频电话。

这一次的问题并不局限于Zoom最近固定的iOS应用程序，但正如副注记的那样，它与平台的“公司目录”设置的配置有关。 虽然已经注册了同一个公司电子邮件域的用户被分组在一起，以便更容易地与同事进行搜索和呼叫，但一些使用私人电子邮件加入Zoom的人已经有数千名陌生人添加到他们的联系人列表中，Zoom认为所有这些人都在同一个组织下工作，因为他们域名。

一个受影响的用户发给Vice的截图显示，他的公司目录中增加了近千个未知的联系人

“如果您使用非标准提供商订阅Zoom(我的意思是，不是Gmail或Hotmail或Yahoo等)，那么您就可以了解该提供商的所有订阅用户：他们的全名、他们的邮件地址、他们的个人资料图片（如果他们有的话）和他们的状态。 荷兰用户Bare nd Gehrels说：“你可以通过视频给他们打电话。”他的联系人名单上有995个陌生人。

另一个遇到同样问题的用户通知了他们的ISP，他们无法在他们的最后纠正它，并要求申诉人联系Zoom。 该公司正式免除上述公共域名的用户公司目录，但注意到他们需要提交手动黑名单非标准域名的请求。

Zoom还将Vice在其报告中强调的特定领域列入了黑名单，但这一问题对于数百万最近跳上该平台进行远程会议、参加在线课程和与家人保持联系的新用户来说，还有待观察。

更新：除了上述问题外，还记录了(如BleepingComputer报告的)，由于缩放如何处理组聊天中的URL，您发送/接收的任何URL都被转换为超链接。 然而，这可能是恶意使用的，如果您没有发送网络链接，而是收到了UNC路径（通用命名公约），这也将转换为链接。

通常使用UNC路径进行网络和文件共享(例如，\127.0.0.1C$windowssystem32calc.exe)。 不知情的用户可以单击恶意链接，这将使Windows尝试使用服务器消息块(SMB)网络文件共享协议连接到远程主机。 默认情况下，Windows将发送用户的登录名和他们的NTLM密码哈希，这可以很容易地破解。

已经联系了缩放，这样他们就可以发出修复，所以聊天客户端不会将UNC路径转换为可点击的链接。 也有一些可用的解决方案，但简而言之，不要去点击任何链接，你是通过聊天发送的，更不要说它不是一个可信的联系人。

德多·鲁维奇：路透社