Blog IT, Blog Marketing

Brudna rączka w cudzym słoju czyli Zoom dobiera się do ciasteczek Chrome’a

Brudna rączka w cudzym słoju czyli Zoom dobiera się do ciasteczek Chrome’a

Marcin Sarna , 28.08.2020 r.

Jak wynika z badań Zoom przetwarza dane osobowe z plików cookies Google Chrome.

Cookies wiedzą co robisz na stronie

Przeciętny użytkownik raczej zdaje sobie sprawę z tego, że strony internetowe wiedzą, kiedy odwiedzał je wcześniej, czy był zalogowany, a nawet co miał w koszyku podczas ostatnich zakupów. W większości przypadków wiedza ta jest dla witryn dostępna dzięki wykorzystaniu plików cookie. Pliki cookie to niewielkie informacje, które są przechowywane na urządzeniach przez strony internetowe w celu identyfikacji użytkowników - umożliwia to stronom internetowym przede wszystkim dostosowanie treści, które dostarczają do każdej osoby.

Chociaż niektóre funkcje zapewniane przez pliki cookie mogą być pomocne w zwiększaniu bezpieczeństwa czy dostępności witryn internetowych, od dawna istnieją obawy dotyczące prywatności. Wiąże się to ze stosowaniem przez wiele firm śledzących i reklamowych plików cookie oraz ze sposobem, w jaki firmy wykorzystują te dane do wpływania na zachowania klientów. Od czasu wprowadzenia dyrektywy o prywatności i łączności elektronicznej i RODO stosowanie plików cookies jest poddane określonym rygorom prawnym. Zapisywanie danych osobowych w cookies to bowiem ich przetwarzanie, a to nie może się odbywać według „widzimisię” administratora strony.

Brudna rączka w cudzym słoju czyli Zoom dobiera się do ciasteczek Chrome’a

ThreatSpike Labs odkryło, że znany komunikator Zoom w nieprawidłowy sposób przetwarza dane osobowe internautów. Chodzi o to, że ma on uzyskiwać dostęp do pliku cookie Google Chrome podczas procesu odinstalowywania. Badacze stwierdzili, że jest to podejrzane zachowanie i postanowili dotrzeć do sedna tego, dlaczego w ogóle miała miejsce taka operacja. Kolejno wykonano więc następujące kroki:

  1. wyczyścili pliki cookies,
  2. pobrali aplikację Zoom,
  3. weszli na stronę zoom.us,
  4. odwiedzili kilka stron internetowych, w tym głównie raczej mało popularne,
  5. zapisali listę plików cookies,
  6. odinstalowali Zoom,
  7. zapisali nową listę plików cookie w celu identyfikacji zmian wprowadzonych przez Zoom.

Wyniki obserwacji

Już podczas odwiedzin witryny zoom.us pliki cookie Zoom są tworzone a niektóre dodatkowe pliki cookie są dodawane, gdy użytkownik loguje się do serwisu. Taki sposób działania witryny jest dość normalny i nie ma tu nic zaskakującego. Ciekawie zaczyna się robić gdy użytkownik próbuje odinstalować klienta Zoom z komputera z systemem Windows. Plik install.exe uzyskuje wówczas dostęp do pliku cookie przeglądarki Chrome użytkownika i odczytuje części pliku, które nie zawierają informacji związanych z Zoom.

Powyższa procedura została powtórzona z plikami zawierającymi różne ilości plików cookies i należącymi do różnych stron internetowych. Zachowanie instalatora udało się częściowo usprawiedliwić – poszukiwał on pliku cookie strony internetowej Zoom i raczej nie chodziło tu o szukanie dostępu do innych plików cookie. Ale pojawiło się też coś nieoczekiwanego – instalator zapisywał nowe pliki cookie. Część z nich była plikami sesyjnymi (bez daty wygaśnięcia) a część miała ustalony okres ważności na 10 lat. Bazując na nazwie pliku cookie everlogin badacze stwierdzili, że przechowuje on informacje o tym, czy użytkownik kiedykolwiek logował się do Zoom.

Takie zachowanie jest sprzeczne z zasadami przetwarzania danych osobowych. Wydaje się, że nie ma żadnych podstaw prawnych do przetwarzania przez 10 lat od odinstalowania aplikacji informacji o tym czy dany użytkownik kiedykolwiek korzystał z Zooma.

Najnowsze oferty pracy:

Polecane wpisy na blogu IT:

Szukasz pracownika IT?

Dostarczymy Ci najlepszych specjalistów z branży IT. Wyślij zapytanie

Wyrażam zgodę TeamQuest Sp. z o.o. na przetwarzanie moich danych osobowych w celu marketingu produktów i usług własnych TeamQuest, w tym na kontaktowanie się ze mną w formie połączenia telefonicznego lub środkami elektronicznymi.
Administratorem podanych przez Ciebie danych osobowych jest TeamQuest Sp. z o.o., z siedzibą w Warszawie (00-814), ul. Miedziana 3a/21, zwana dalej „Administratorem".
Jeśli masz jakiekolwiek pytania odnośnie przetwarzania przez nas Twoich danych, skontaktuj się z naszym Inspektorem Ochrony Danych (IOD). Do Twojej dyspozycji jest pod adresem e-mail: office@teamquest.pl.
W jakim celu i na jakiej podstawie będziemy wykorzystywać Twoje dane? Dowiedz się więcej