2020-04-07 22:23:38
Про Zoom комбинаторику
Дорогие мои!
В жизни наших туговасиков бывают самые разные комбинации. Это могут быть комбинации значений полей, или комбинации тестов. А может быть комбинация "Пользователь никогда так не сделает" и "Льём на прод, эти баги всё равно некритичные". И она самая страшная.
Проявляется она чаще всего тогда, когда ПО (он же продакт) договорился с бизнесом о сроках, а команду в известность не поставил. Кушать хочется всем, поэтому зарплату надо отрабатывать. Значит, надо фигачить новый функционал в сжатые сраки. А нечаянно пробегающим мимо тестировщикам орать вслед: "Пользователь никогда так не сделает". Потому что даже если пользователь и сделает, времени фиксить всё равно нет. ПО же уже договорился.
Некоторые недальновидные бизнесы так радуются такой скорости разработки, что забывают о главном: помимо того, что мы вышли на рынок первыми и заграбастали кучу пользователей, этих пользователей надо ещё как-то удержать. Удержание обычно происходит потом и кровью наших пупсиков. Но не всегда.
Ваша мать не знает, что конкретно пошло не так в Zoom, но опыт работы в некоторых командах подсказывает, что пошло всё по сценарию выше.
Начиналось всё хорошо: количество пользователей росло постепенно и никто из них ничего такого не делал. Даже когда количество достигло 10 млн. А потом пришла слава откуда не ждали и в месяц март, 2020, количество пользователей у Zoom возросло до 200 млн. Да, в 20 раз. Бизнес так охренел от радости, что начал фигачить новый функционал с утроенной скоростью. Вот только вместе с новыми пользователями пришли и те, которые стали всё такое делать. И понеслась.
Ниже перечень инфоповодов Zoom только за последние 3 недели (вашей покорной слуге стало лень листать глубже).
- Конфиденциальность пользовательских данных - не самая сильная сторона Zoom
- Zoom отправляет кучу данных о пользователях в Facebook без их ведома и согласия
- Zoom исправился, убрав из приложения код, отправлявший данные в Facebook
но пользователей уже было не остановить, поэтому....
- Zoom даже после удаления оставлял открытым свой веб-сервер на Маке, и можно подключаться к камерам юзеров. Apple пришлось срочно убирать его из компьютеров.
- Е2Е у Zoom оказались не такими зашифрованными, как утверждали в компании
- изобретено новое слово: zoombombing - это перебор 10-значных кодов конференций в надежде найти действующую, подключиться к ней и набедокурить. Например, в одной из школ США второклашкам включили порно.
- сразу две zero day уязвимости в клиентах Zoom под Мак, включая инъекцию кода в доступ к микрофону и камере
- баг в Zoom позволяет стащить реквизиты Windows без всяких ворнингов. Клиент Zoom под винду конвертирует network location в кликабельную ссылку
на этом этапе даже ПО стало понятно, что что-то пошло не так, поэтому Zoom прекратил разработку нового функционала на 90 дней и стал активно фиксить свои баги. Но вы же знаете наших пупсиков, если они сказали, что вынесут мусор через полчаса, то в лучшем случае завтра взглянут на мешок. Поэтому что-то мне подсказывает, что 90 днями тут не обойтись. И не только мне. Поэтому...
- в сети лежат в открытом доступе инструменты для поиска открытых митингов в Zoom для зумбомбинга.
но даже это уже не нужно, уязвимости в системе элементарнейшие:
- сохраненные видео звонков Zoom хранятся доступными в интернете. Сервис сохраняет такие видео на отдельный открытый амазоновский бакет, а логика наименования файлов позволяет подбирать названия
Пользователя, который "никогда так не сделает" уже не остановить. Единственный выход - пересесть с Zoom иглы на что-то другое. Как уже массово делают в школах США, запрещая им использование Zoom.
Ещё бы - после просмотра порно второклашками я бы ещё и не такое запретила.
В компании вашей покорной слуги с прошлой недели Zoom тоже в бане. И в некоторых других известных мне компаниях.
Вот такая бесславная история.
Слушайте своих туговасиков. И поверьте, "пользователь" порой делает такое, что вам даже в фильмах про хакеров не покажут.
Всегда ваша,
Мамка начинающего айтишника
2.6K views19:23