Problemas foram descobertos por pesquisadores da Check Point. Um hacker poderia descobrir IDs, acessar uma reunião e todos os seus conteúdos
A Check Point Research (CPR), braço de inteligência e pesquisas da Check Point Software, descobriu graves vulnerabilidades na Zoom, uma das mais populares plataformas de conferência do mundo, tanto para vídeo quanto para voz. Ela é usada por mais de 60% das empresas 500 maiores empresas dos Estados Unidos (lista Fortune 500). Os pesquisadores conseguiram provar que era possível gerar IDs e espionar as reuniões, obtendo acesso a todos os áudios, vídeos e documentos compartilhados durante todo o tempo de uma reunião.
Segundo a CPR, os IDs de reunião da Zoom são compostos com nove a 11 dígitos, que normalmente fazem parte da URL de acesso (por exemplo, https://zoom.us/j/93XXX9XXX5). Os pesquisadores descobriram que um hacker poderia gerar uma longa lista de IDs para reuniões, e usar técnicas de automação para verificar rapidamente se algum deles era válido ou não, se as reuniões usavam senha ou não para, em seguida, acessá-las.
Em resumo, era possível a um cibercriminoso espionar uma reunião na Zoom seguindo três etapas:
- Geração de uma lista de códigos de reunião da Zoom
- Validação rápida da existência de cada ID de reunião da Zoom
- Conectar-se à reunião
A equipe da Check Point entrou em contato com a Zoom e compartilhou essas descobertas seguindo um processo padrão de divulgação responsável. A seguir, os pesquisadores trabalharam com a Zoom para a publicação de uma série de correções e de novas funcionalidades, resolvendo as falhas de segurança.
Alterações na segurança Zoom
A Zoom introduziu os seguintes recursos e funcionalidades de segurança:
- Senhas padrão: senhas serão adicionadas por padrão a todas as futuras reuniões agendadas
- Adições de senhas por usuário: usuários podem adicionar uma senha a reuniões já agendadas
- Utilização de senhas em nível de conta e do grupo: as configurações de senha são aplicáveis no nível da conta e do grupo pelo administrador da conta
- Validação do ID da reunião: o serviço não indicará mais se um ID de reunião é válido ou não, forçando um recarregamento da página. Assim, não será possível delimitar rapidamente o número de reuniões disponíveis para ingresso.
- Bloqueador de dispositivos: Tentativas repetidas de busca por identificações de reunião (IDs) farão com que um dispositivo seja bloqueado por um certo período
Zoom em números
A empresa Zoom é líder em comunicações de vídeo corporativas modernas, fornece uma plataforma na nuvem fácil para videoconferência e áudio, colaboração, bate-papo e seminários on-line em dispositivos móveis, desktops, telefones e sistemas de salas. É utilizado em salas de diretoria, conferência, reunião e treinamento, além de escritórios executivos e salas de aula.
- Mais de 74 mil clientes
- Usada por 60% das empresas listadas na Fortune 500
- Usada por 96% das 200 principais universidades dos EUA
- Aumento de 67% no número de clientes em 2019
- 466 clientes pagam pelo menos US$ 100.000 por ano
- 27 clientes pagam acima de US$ 1 milhão por ano
