Zoom: Kuinka tietoturvavirhe antoi hakkereille mahdollisuuden murtaa yksityisten kokousten salasanoja

Zoomaus löydettiin virhe, jota hakkerit voivat hyödyntää ja käyttää salasanojen murtamiseen yksityisissä kokouksissa. Mitä tulee yksityisyyteen, Zoom on ollut viime aikoina paljon uutisissa tietoturvaongelmistaan. Tämä johtuu osittain siitä, kuinka nopeasti Zoom on muuttunut joistakin käyttäjistä paljon, koska monet työskentelevät nyt kotona ja tarvitsevat videoneuvottelu- ja viestintäratkaisuja pitääkseen yhteyttä ystäviin, perheeseen ja työhön kollegat.

Kuukausien kuluessa Zoomista on tullut uskomattoman tärkeä resurssi etätyötä tekeville ihmisille. Resurssina ihmiset voivat pitää kokouksia noudattaen asianmukaisia ​​sosiaalisen etäisyyden periaatteita ja vaikka monet voivat olla iloisia hassuja taustoja, on niitä, jotka ovat huolissaan turvallisuuspuutteita liittyvät alustaan, mukaan lukien Zoompommitus.

Blogiviestissä Tom Anthony jakoi tietoa Zoomin tietoturvavirheestä. Yksityiskohtien lisäksi tietoturva-aukkojaAnthony ilmoitti Zoomille virheestä ja antoi ehdotuksia siitä, kuinka Zoom voisi parantaa tietoturvaansa. Ongelma huomattiin ensimmäisen kerran sen jälkeen, kun Ison-Britannian pääministeri Boris Johnson jakoi kuvan Zoomin hallituksen kokouksesta, johon Anthony yritti arvata liittymissalasanan. Tässä kokouksessa oli satunnainen mykistetty käyttäjä nimeltä "iPhone", ja vaikka hallitus selitti, että Kokous oli salasanasuojattu, Anthony pelkäsi, että joku olisi jo aiemmin löytänyt ja käyttänyt hyväksikäyttöä.

Uusimman Zoomin suojausvirheen ymmärtäminen

On tärkeää ymmärtää tämä oletusarvo salasanat on Zoom koostui alun perin kuudesta numerosta; vaikka ihmiset voivat tehdä 10-numeroisen aakkosnumeerisen salasanan. Normaalisti sivusto tai sovellus voi rajoittaa sitä, kuinka monta kertaa käyttäjä voi antaa salasanan. mutta Zoom antoi ihmisten syöttää salasanan niin monta kertaa kuin halusivat ilman seurauksia. Tämän seurauksena ihmiset voivat syöttää miljoona mahdollista salasanaa päästäkseen a Zoom-kokous. Anthony testasi tätä Pythonilla lähettämällä nopeasti salasanoja, ja näin ollen löysi oikean koodin alle 30 minuutissa. Lisäksi Anthony korosti, että ihmiset voivat löytää salasanan nopeammin, jos heillä on parempi koodi tarkistettavaksi eriä ja ylivoimaisia ​​resursseja, mutta huomaa myös, että aakkosnumeeriset salasanat voivat murtua yhdessä tunnin.

Anthony keksi muutamia ratkaisuja estääkseen jotakuta, kuten väitettyä mysteeri-iphone-henkilöä murtautumasta yksityisiin kokouksiin. Ensimmäinen ratkaisu on melko yksinkertainen; periaatteessa antaa käyttäjille tietty määrä salasanayrityksiä ja jopa rajoittaa salasanoja käyttäjän IP-osoitteen perusteella osoite. Anthony uskoo myös, että Zoomin pitäisi pidentää heidän oletussalasanansa. Lisäksi Anthony väittää myös, että ihmiset kokouksissa pitäisi saada varoituksia kun joku epäonnistuu useassa salasanayrityksessä ja huomautti myös, että Zoomin pitäisi korjata virhe koskien tietosuojatermisivua, jolla haitalliset tahot voivat automatisoida hyökkäyksiä jättämällä pois CSRF HTTP: n otsikko.

On syytä mainita, että Zoom on jo korjannut ongelman hakkerit ei voi osallistua yksityisiin kokouksiin samalla menetelmällä. Anthonyn mukaan videoneuvotteluyritys toimi nopeasti ongelman lievittämiseksi pakottamalla käyttäjät kirjautumaan sisään verkkosovelluksen kautta ja vaihtamalla aakkosnumeerisiin oletussalasanoihin. Näin ollen Zoom voisi aina lisätä lisää turvallisuus ominaisuuksia ja suojakerroksia tukeakseen käyttäjiään paremmin.

Lähde: Tom Anthony

Uncharted Movie Trailer -jakauma: 20 suurinta tarinaa ja pääsiäismunia

Kirjailijasta