O aplicativo de videoconferências Zoom teve um grande crescimento na pandemia, mas acabou passando por problemas de segurança durante seu ápice de usuários. Uma dessas falhas era bastante simples e estava relacionada com o sistema de senhas das reuniões, de acordo com um relatório divulgado pelo especialista de segurança Tom Anthony, que trabalha na empresa de buscas SearchPilot.
Em uma postagem feita em seu site, Anthony explica que conseguiu descobrir e comprovar uma vulnerabilidade nas senhas utilizadas para proteger as reuniões do Zoom. Em abril, quando o problema foi descoberto, as salas podiam ser acessadas por qualquer pessoa que soubesse a combinação numérica, que tinha no máximo seis dígitos.
O Zoom cresceu na pandemia e alcançou a marca de 300 milhões de usuários em reuniões diariamenteFonte: Zoom
A utilização de seis números garante cerca de um milhão de combinações de senhas para proteger as reuniões. Enquanto a quantidade pode ser suficiente para cansar um ser humano intrometido, um hacker pode ultrapassar a barreira facilmente usando um software de ataque com força bruta.
Descobrindo a senha em minutos
Durante seu teste, o especialista de segurança utilizou um programa feito em Python para descobrir a senha de uma sala. O resultado? Após cerca de 28 minutos, o software conseguiu encontrar a combinação que protegia a reunião.
"Com a segmentação aprimorada e a distribuição entre 4-5 servidores em nuvem, você pode verificar o espaço inteiro de combinações em alguns minutos", disse o especialista. Após comprovar a vulnerabilidade, Tom Anthony denunciou a falha de segurança para a Zoom em 1° de abril.
No dia seguinte, a companhia suspendeu seu serviço web e começou a realizar mudanças para aprimorar a segurança das reuniões, processo que durou aproximadamente uma semana. Além de tornar as senhas maiores e trazer suporte para caracteres extras, a empresa também tornou obrigatório o login em uma conta zoom para utilizar a versão web do serviço.
"Com essas correções, o problema foi totalmente resolvido e nenhuma ação dos usuários foi necessária", disse a Zoom. "Não temos conhecimento de que essa vulnerabilidade foi explorada de qualquer maneira."
Fontes
Categorias