Разработчики Zoom исправили баг, который позволял злоумышленникам взламывать пароли видеоконференций за пару минут.
По умолчанию видеособрания в Zoom защищены 6-значным числовым паролем, однако количество попыток его ввода до этой недели не было ограничено. Нам бы потребовалось не более одного миллиона попыток для нахождения нужного кода. А опытный киберпреступник мог это сделать за пару минут и легко получить доступ к любой частной видеоконференции. Кстати, обычно при повторяющихся собраниях используется один и тот же пароль, а это значит, что злоумышленник имел доступ сразу ко множеству звонков.
Этот баг обнаружил Том Энтони, вице-президент по развитию продуктов в компании SearchPilot. Об исследовании Том подробно написал в своем блоге.
31 марта Том увидел твит Бориса Джонсона, премьер-министра Великобритании, о первом в истории онлайн-заседании кабинета министров. На скриншоте оказался виден идентификационный номер конференции Zoom (ID). Эта встреча, конечно, была защищена паролем, однако Том за пару дней смог перебрать все возможные комбинации и найти нужную. Неизвестно, использовали ли эту уязвимость злоумышленники.
Отметим, что разработчики Zoom быстро отреагировали на сообщение Тома и уже разобрались с этим багом.
Комментарии