Можно сказать, что хотя бы отчасти опасения противников приложения для видеоконференций Zoom подтвердились.
Специалисты IntSights нашли в даркнете базу, в которую входят учетные данные пользователей Zoom (email, пароли), а также идентификаторы собраний, имена и ключи хостов. Пока эта база сравнительно небольшая: она содержит около 2300 записей, однако содержащих довольно подробную информацию.
Как такие данные попадают в сеть? Нередко их засвечивают сами организаторы бесед, публикуя скриншоты своих собраний в социальных сетях. Так, премьер-министр Великобритании Борис Джонсон поделился ID заседания кабинета министров Великобритании, а члены парламента Бельгии случайно раскрыли идентификатор и пароль, опубликовав скриншот собрания комитета обороны.
Добавление ID к легко подбираемому URL-адресу, это первый шаг, который делает злоумышленник для получении доступа ко всем текущим конференциям целевой учетной записи. URL-адрес, о котором идет речь — это либо базовый URL-адрес Zoom (https://zoom.us/j/), либо этот URL с названием компании. Таким образом, zoom[название компании].us/j/[account/ID number] —это URL-адрес конкретной видеоконференции Zoom.
Дополнительный доступ к идентификатору (обычно адресу электронной почты) и паролю позволит злоумышленнику использовать учетную запись и начать новую видеоконференцию от имени ее владельца.
Рабочая версия того, как могла быть составлена база Zoom: атака credential stuffing, когда имена пользователей и пароли похищаются с одних сайтов, а затем используются против других. То есть злоумышленники имеют какую-то уже готовую базу учетных данных и пытаются использовать эти данные, чтобы авторизоваться на каких-либо сайтах и сервисах под видом своих жертв. Это объясняет пока малый размер базы.
Ранее стало известно, что из-за повсеместной самоизоляции и карантина приложение обрело небывалую популярность: количество его пользователей возросло с 10 до 200 млн за три месяца. В апреле, вслед за НАСА и SpaceX, компания Google запретила своим сотрудникам использовать Zoom. Ограничение ввело и правительство США.
В РФ был зафиксирован инцидент, когда хакеры атаковали порнографическими роликами проводившиеся через Zoom удаленные школьные занятия.
Разработку приложения после многочисленных жалоб остановили на 90 дней, и компания полностью сосредоточилась на улучшении безопасности, а также пообещала провести аудит с привлечением сторонних специалистов.
Читайте также на АКБ:
В разгар пандемии хакеры массово подделывают конференц-связь Zoom
