Zoom jest ponownie krytykowany za poważne luki w zabezpieczeniach. Po pierwsze, hakerzy byli ostatnio w stanie przejąć konta Windows przez Zoom, teraz wydaje się, że większość ludzi prowadzi wideokonferencję bez hasła, co jest niezabezpieczone.
Narzędzie do wideokonferencji Zoom zyskało ogromną popularność od czasu wybuchu epidemii koronakryzy. Jednocześnie nasiliły się ataki cyberprzestępców i krytyka ze strony obrońców danych. W związku z tym szef Zoom Eric Yuan powiedział w środę, że firma skupi się na poprawkach bezpieczeństwa i poprawkach błędów w nadchodzących miesiącach. Rozwój nowych funkcji aplikacji jest na razie wstrzymany. Dwie obecne luki w zabezpieczeniach pokazują, jak ważne jest to.
Luka w zoomie umożliwiła dostęp do wrażliwych danych
W przypadku jednej luki hakerzy mieli możliwość uzyskania dostępu do wrażliwych danych i wiadomości e-mail, dopóki luka nie została zamknięta w środę. Ekspert ds. Bezpieczeństwa IT Matthew Hickey powiedział wcześniej, że udało mu się przechwycić nazwę użytkownika Zoom i hasło Windows. Był w stanie przenieść to na serwer, który kontrolował, nie będąc zauważonym. Atak był dość łatwy do przeprowadzenia, powiedział Hickey.
Hickey, który pracuje dla firmy informatycznej Hacker House, był w stanie zreplikować ten atak w ciągu 30 minut. Szczególnie zagrożeni byli użytkownicy posiadający firmowe komputery.
Większość ludzi używa Zoom do prowadzenia wideokonferencji bez hasła
Popularny badacz bezpieczeństwa Brian Krebs zgłoszone kolejny problem na jego blogu Krebsonsecurity. Według niego tzw. Bombardowanie z użyciem zoomu jest również możliwe przede wszystkim z powodu nieodpowiedniej ochrony hasłem. Bombardowanie z użyciem zoomu odnosi się do niepożądanego wejścia nieznajomych na konferencję Zoom.
Automatyczna wyszukiwarka spotkań konferencyjnych Zoom „zWarDial” wykrywa około 100 spotkań na godzinę, które nie są chronione hasłami. Narzędzie zachęciło również Zoom do zbadania, czy jego podejście do domyślnego hasła może działać nieprawidłowo https://t.co/dXNq6KUYb3 pic.twitter.com/h0vB1Cp9Tb
– briankrebs (@briankrebs) 2 kwietnia 2020
Według Krebsa, narzędzie Z-War-Dial, które może wykrywać wideokonferencje Zoom niechronione hasłem, obecnie znajduje około 100 takich spotkań na godzinę. Narzędzie nie może znaleźć chronionych hasłem wideokonferencji Zoom. Problem leży z jednej strony w nieuważnych użytkownikach, którzy zapominają odpowiednio zabezpieczyć swoje spotkanie. Z drugiej strony wydaje się, że jest problem z Zoomem. Ponieważ narzędzie powinno faktycznie przypisywać automatyczne hasło – zdaniem Krebsa w wielu przypadkach wydaje się to nie działać.