Bug do Zoom permitiu que invasores decifrassem senhas de reuniões privadas

Bug do Zoom permitiu que invasores decifrassem senhas de reuniões privadasA falta de limitação em tentativas repetidas de senha permitiu que possíveis invasores decifrassem senhas numéricas usadas para proteger reuniões privadas do Zoom.
Tom Anthony, vice-presidente de produtos da SearchPilot, diz:
As reuniões do Zoom são protegidas por senha numérica de 6 dígitos, o que significa 1 milhão de senhas no máximo.
Portanto, a vulnerabilidade que ele viu no cliente web do Zoom permitiu que os invasores adivinhassem a senha de qualquer reunião, tentando todas as combinações possíveis até encontrar a correta.

Bug do Zoom permitiu que invasores decifrassem senhas de reuniões privadas

Anthony diz:
Isso permite que um invasor tente todas as 1 milhão de senhas em questão de minutos e obtenha acesso às reuniões privadas do Zoom (protegidas por senha) de outras pessoas.
Além disso, isso levanta a questão preocupante de saber se outros já estavam potencialmente usando essa vulnerabilidade.
Dessa forma, como os invasores não precisariam percorrer toda a lista de 1 milhão de senhas possíveis, isso poderia reduzir drasticamente o tempo necessário para decifrá-las.
Bug do Zoom permitiu que invasores decifrassem senhas de reuniões privadasO fundador e CEO da Zoom, Eric S. Yuan, disse em abril que a plataforma de videoconferência ultrapassava 300 milhões de participantes diários.
Como Anthony conseguiu demonstrar, ele poderia decifrar a senha de uma reunião (incluindo reuniões agendadas) dentro de 25 minutos após a verificação de 91.000 senhas usando uma máquina da AWS. Assim, Anthony acrescentou:
Com a segmentação aprimorada e a distribuição entre 4-5 servidores na nuvem, você pode verificar o espaço inteiro da senha em alguns minutos.
Após o relatório de Anthony, a Zoom retirou o cliente web a partir de 2 de abril para solucionar a vulnerabilidade. Assim, o Zoom abordou o problema de limitação de tentativa de senha exigindo que o usuário efetue login para ingressar em reuniões no web client e atualizando as senhas padrão da reunião para não serem numéricas e mais longas.
Por fim, o fundador e CEO da Zoom, Eric S. Yuan, disse em abril que a plataforma de videoconferência ultrapassava 300 milhões de participantes diários.
Fonte: Bleeping Computer
Uma nova falha de URL do Zoom permite que hackers imitem links de convite

Zoom e ServiceNow se juntam para melhorar trabalho on-line

Google Meet receberá alguns dos recursos mais populares do Zoom

Zoom recua e planeja oferecer criptografia de ponta a ponta a todos os usuários

Zoom admite ter cumprido pedido chinês de suspender contas de ativistas

FONTE: Blog SempreUpdate
Mais uma vez, agradecemos aos autores originais desta publicação.