O braço de inteligência e pesquisas de ameaças Check Point Research (CPR), da CheckPoint identificou vulnerabilidades graves de segurança na plataforma Zoom, o popular serviço de videoconferência usado por mais de 60% das empresas da Fortune 500 (são as 500 maiores empresas dos Estados Unidos, segundo o volume de vendas).
Os pesquisadores da Check Point conseguiram provar que os cibercriminosos podiam gerar e verificar facilmente os IDs da Zoom Meeting para atingir as vítimas, permitindo-lhes espionar as reuniões do Zoom, fornecendo acesso intrusivo a todos os áudios, vídeos e documentos compartilhados durante todo o tempo de realização da reunião.
Como funciona essa vulnerabilidade
Os IDs de reunião do Zoom são compostos por indicação de nove a 11 dígitos que normalmente são incluídos na URL (por exemplo, https://zoom.us/j/93XXX9XXX5). Os pesquisadores da Check Point descobriram também que um hacker poderia gerar previamente uma longa lista de IDs de reuniões no Zoom, usando técnicas de automação para verificar rapidamente se o respectivo ID era válido ou não, se as reuniões usavam senha ou não para, em seguida, conseguirem acessar as reuniões do Zoom que não estivessem protegidas por senha.
Em resumo, era possível a um cibercriminoso espionar uma reunião no Zoom seguindo três etapas:
- Geração de uma lista de códigos de reunião de Zoom;
- Validação rápida da existência de cada ID de reunião de Zoom;
- Conectar-se à reunião.
Divulgação Responsável
A equipe da Check Point entrou em contato com a Zoom e compartilhou essas descobertas de acordo com seu processo padrão de divulgação responsável. A Check Point trabalhou posteriormente com a Zoom para que emitisse uma série de correções e novas funcionalidades para corrigir completamente as falhas de segurança descobertas pela Check Point.
Assim, a Check Point propôs as seguintes mitigações à Zoom:
- Reimplementar o algoritmo de geração de identificações de reunião;
- Substituir a função de randomização por uma criptografia forte;
- Aumentar o número de dígitos \ símbolos nas IDs da reunião;
Forçar hosts a usar senhas \ PINs \ SSO para fins de autorização.
Alterações na segurança Zoom
A Zoom introduziu os seguintes recursos e funcionalidades de segurança em sua tecnologia:
1. Senhas padrão: As senhas são adicionadas por padrão a todas as futuras reuniões agendadas.
2. Adições de senhas por usuário: Os usuários podem adicionar uma senha a futuras reuniões já agendadas e, caso queiram, poderão receber instruções por e-mail sobre como realizar esse processo.
3. Utilização de senhas em nível de conta e do grupo: As configurações de senha são aplicáveis no nível da conta e do grupo pelo administrador da conta.
4. Validação do ID da reunião: O serviço Zoom não indicará mais automaticamente se um ID de reunião é válido ou inválido. Para cada tentativa, a página será carregada e tentará ingressar na reunião. Portanto, um cibercriminoso não conseguirá delimitar rapidamente o número de reuniões que tem para tentar ingressar.
5. Bloqueador de dispositivos: Tentativas repetidas de procura por identificações de reunião (IDs) farão com que um dispositivo seja bloqueado por um certo período.