Jak wynika z badań Zoom przetwarza dane osobowe z plików cookies Google Chrome.

Cookies wiedzą co robisz na stronie

Przeciętny użytkownik raczej zdaje sobie sprawę z tego, że strony internetowe wiedzą, kiedy odwiedzał je wcześniej, czy był zalogowany, a nawet co miał w koszyku podczas ostatnich zakupów. W większości przypadków wiedza ta jest dla witryn dostępna dzięki wykorzystaniu plików cookie. Pliki cookie to niewielkie informacje, które są przechowywane na urządzeniach przez strony internetowe w celu identyfikacji użytkowników - umożliwia to stronom internetowym przede wszystkim dostosowanie treści, które dostarczają do każdej osoby.

Chociaż niektóre funkcje zapewniane przez pliki cookie mogą być pomocne w zwiększaniu bezpieczeństwa czy dostępności witryn internetowych, od dawna istnieją obawy dotyczące prywatności. Wiąże się to ze stosowaniem przez wiele firm śledzących i reklamowych plików cookie oraz ze sposobem, w jaki firmy wykorzystują te dane do wpływania na zachowania klientów. Od czasu wprowadzenia dyrektywy o prywatności i łączności elektronicznej i RODO stosowanie plików cookies jest poddane określonym rygorom prawnym. Zapisywanie danych osobowych w cookies to bowiem ich przetwarzanie, a to nie może się odbywać według „widzimisię” administratora strony.

Brudna rączka w cudzym słoju czyli Zoom dobiera się do ciasteczek Chrome’a

ThreatSpike Labs odkryło, że znany komunikator Zoom w nieprawidłowy sposób przetwarza dane osobowe internautów. Chodzi o to, że ma on uzyskiwać dostęp do pliku cookie Google Chrome podczas procesu odinstalowywania. Badacze stwierdzili, że jest to podejrzane zachowanie i postanowili dotrzeć do sedna tego, dlaczego w ogóle miała miejsce taka operacja. Kolejno wykonano więc następujące kroki:

1. wyczyścili pliki cookies,
2. pobrali aplikację Zoom,
3. weszli na stronę zoom.us,
4. odwiedzili kilka stron internetowych, w tym głównie raczej mało popularne,
5. zapisali listę plików cookies,
6. odinstalowali Zoom,
7. zapisali nową listę plików cookie w celu identyfikacji zmian wprowadzonych przez Zoom.

Wyniki obserwacji

Już podczas odwiedzin witryny zoom.us pliki cookie Zoom są tworzone a niektóre dodatkowe pliki cookie są dodawane, gdy użytkownik loguje się do serwisu. Taki sposób działania witryny jest dość normalny i nie ma tu nic zaskakującego. Ciekawie zaczyna się robić gdy użytkownik próbuje odinstalować klienta Zoom z komputera z systemem Windows. Plik install.exe uzyskuje wówczas dostęp do pliku cookie przeglądarki Chrome użytkownika i odczytuje części pliku, które nie zawierają informacji związanych z Zoom.

Powyższa procedura została powtórzona z plikami zawierającymi różne ilości plików cookies i należącymi do różnych stron internetowych. Zachowanie instalatora udało się częściowo usprawiedliwić – poszukiwał on pliku cookie strony internetowej Zoom i raczej nie chodziło tu o szukanie dostępu do innych plików cookie. Ale pojawiło się też coś nieoczekiwanego – instalator zapisywał nowe pliki cookie. Część z nich była plikami sesyjnymi (bez daty wygaśnięcia) a część miała ustalony okres ważności na 10 lat. Bazując na nazwie pliku cookie everlogin badacze stwierdzili, że przechowuje on informacje o tym, czy użytkownik kiedykolwiek logował się do Zoom.

Takie zachowanie jest sprzeczne z zasadami przetwarzania danych osobowych. Wydaje się, że nie ma żadnych podstaw prawnych do przetwarzania przez 10 lat od odinstalowania aplikacji informacji o tym czy dany użytkownik kiedykolwiek korzystał z Zooma.