in

Bug do Zoom permitiu que invasores decifrassem senhas de reuniões privadas

Tentando todas as combinações possíveis até encontrar a correta.

Bug do Zoom permitiu que invasores decifrassem senhas de reuniões privadas
Imagem: Zoom.us.

A falta de limitação em tentativas repetidas de senha permitiu que possíveis invasores decifrassem senhas numéricas usadas para proteger reuniões privadas do Zoom.

Tom Anthony, vice-presidente de produtos da SearchPilot, diz:

As reuniões do Zoom são protegidas por senha numérica de 6 dígitos, o que significa 1 milhão de senhas no máximo.

Portanto, a vulnerabilidade que ele viu no cliente web do Zoom permitiu que os invasores adivinhassem a senha de qualquer reunião, tentando todas as combinações possíveis até encontrar a correta.

Bug do Zoom permitiu que invasores decifrassem senhas de reuniões privadas

Anthony diz:

Isso permite que um invasor tente todas as 1 milhão de senhas em questão de minutos e obtenha acesso às reuniões privadas do Zoom (protegidas por senha) de outras pessoas.

Além disso, isso levanta a questão preocupante de saber se outros já estavam potencialmente usando essa vulnerabilidade.

Dessa forma, como os invasores não precisariam percorrer toda a lista de 1 milhão de senhas possíveis, isso poderia reduzir drasticamente o tempo necessário para decifrá-las.

Bug do Zoom permitiu que invasores decifrassem senhas de reuniões privadas
O fundador e CEO da Zoom, Eric S. Yuan, disse em abril que a plataforma de videoconferência ultrapassava 300 milhões de participantes diários.

Como Anthony conseguiu demonstrar, ele poderia decifrar a senha de uma reunião (incluindo reuniões agendadas) dentro de 25 minutos após a verificação de 91.000 senhas usando uma máquina da AWS. Assim, Anthony acrescentou:

Com a segmentação aprimorada e a distribuição entre 4-5 servidores na nuvem, você pode verificar o espaço inteiro da senha em alguns minutos.

Após o relatório de Anthony, a Zoom retirou o cliente web a partir de 2 de abril para solucionar a vulnerabilidade. Assim, o Zoom abordou o problema de limitação de tentativa de senha exigindo que o usuário efetue login para ingressar em reuniões no web client e atualizando as senhas padrão da reunião para não serem numéricas e mais longas.

Por fim, o fundador e CEO da Zoom, Eric S. Yuan, disse em abril que a plataforma de videoconferência ultrapassava 300 milhões de participantes diários.

Fonte: Bleeping Computer

Uma nova falha de URL do Zoom permite que hackers imitem links de convite

Zoom e ServiceNow se juntam para melhorar trabalho on-line

Google Meet receberá alguns dos recursos mais populares do Zoom

Zoom recua e planeja oferecer criptografia de ponta a ponta a todos os usuários

Zoom admite ter cumprido pedido chinês de suspender contas de ativistas

Escrito por Leonardo Santana

Profissional da área de manutenção e redes, astrônomo amador, eletrotécnico e apaixonado por TI desde o século passado.