A falta de limitação em tentativas repetidas de senha permitiu que possíveis invasores decifrassem senhas numéricas usadas para proteger reuniões privadas do Zoom.
Tom Anthony, vice-presidente de produtos da SearchPilot, diz:
As reuniões do Zoom são protegidas por senha numérica de 6 dígitos, o que significa 1 milhão de senhas no máximo.
Portanto, a vulnerabilidade que ele viu no cliente web do Zoom permitiu que os invasores adivinhassem a senha de qualquer reunião, tentando todas as combinações possíveis até encontrar a correta.
Bug do Zoom permitiu que invasores decifrassem senhas de reuniões privadas
Anthony diz:
Isso permite que um invasor tente todas as 1 milhão de senhas em questão de minutos e obtenha acesso às reuniões privadas do Zoom (protegidas por senha) de outras pessoas.
Além disso, isso levanta a questão preocupante de saber se outros já estavam potencialmente usando essa vulnerabilidade.
Dessa forma, como os invasores não precisariam percorrer toda a lista de 1 milhão de senhas possíveis, isso poderia reduzir drasticamente o tempo necessário para decifrá-las.
Como Anthony conseguiu demonstrar, ele poderia decifrar a senha de uma reunião (incluindo reuniões agendadas) dentro de 25 minutos após a verificação de 91.000 senhas usando uma máquina da AWS. Assim, Anthony acrescentou:
Com a segmentação aprimorada e a distribuição entre 4-5 servidores na nuvem, você pode verificar o espaço inteiro da senha em alguns minutos.
Após o relatório de Anthony, a Zoom retirou o cliente web a partir de 2 de abril para solucionar a vulnerabilidade. Assim, o Zoom abordou o problema de limitação de tentativa de senha exigindo que o usuário efetue login para ingressar em reuniões no web client e atualizando as senhas padrão da reunião para não serem numéricas e mais longas.
Por fim, o fundador e CEO da Zoom, Eric S. Yuan, disse em abril que a plataforma de videoconferência ultrapassava 300 milhões de participantes diários.
Fonte: Bleeping Computer
https://sempreupdate.com.br/uma-nova-falha-de-url-do-zoom-permite-que-hackers-imitem-links-de-convite/
https://sempreupdate.com.br/zoom-e-servicenow-se-juntam-para-melhorar-trabalho-on-line/
https://sempreupdate.com.br/google-meet-recebera-alguns-dos-recursos-mais-populares-do-zoom/
https://sempreupdate.com.br/zoom-recua-e-planeja-oferecer-criptografia-de-ponta-a-ponta-a-todos-os-usuarios/
https://sempreupdate.com.br/zoom-admite-ter-cumprido-pedido-chines-de-suspender-contas-de-ativistas/