Zoom wordt opnieuw bekritiseerd vanwege ernstige beveiligingsproblemen. Ten eerste konden hackers onlangs Windows-accounts kapen via Zoom, nu lijkt het erop dat de meeste mensen een videoconferentie hebben zonder wachtwoord, die onveilig is.
De videoconferentie-tool Zoom is enorm populair geworden sinds het begin van de coronacrisis-epidemie. Tegelijkertijd namen aanvallen door cybercriminelen en kritiek door gegevensbeschermers toe. Daarom zei Zoom-baas Eric Yuan woensdag dat het bedrijf zich de komende maanden zou concentreren op beveiligingspatches en bugfixes. De ontwikkeling van nieuwe functies voor de app staat voorlopig stil. Twee huidige beveiligingslekken laten zien hoe belangrijk dit is.
Zoom gap gaf toegang tot gevoelige gegevens
Bij één kwetsbaarheid zouden hackers de gelegenheid hebben gehad om toegang te krijgen tot gevoelige gegevens en e-mails totdat de kloof op woensdag was gedicht. IT-beveiligingsexpert Matthew Hickey zei eerder dat hij erin geslaagd was de gebruikersnaam en het Windows-wachtwoord van een Zoom-gebruiker te onderscheppen. Hij had dit ongemerkt kunnen overbrengen naar een server die hij controleerde. De aanval was vrij eenvoudig uit te voeren, zei Hickey.
Hickey, die werkt voor het IT-bedrijf Hacker House, was in staat om deze aanval binnen 30 minuten te repliceren. Vooral gebruikers met bedrijfscomputers liepen gevaar.
De meeste mensen gebruiken Zoom om een videoconferentie te houden zonder wachtwoord
De populaire beveiligingsonderzoeker Brian Krebs gemeld een ander probleem op zijn blog Krebsonsecurity. Volgens hem is zogenaamd zoombombardement ook vooral mogelijk vanwege onvoldoende wachtwoordbeveiliging. Zoombombardementen verwijzen naar de ongewenste toegang van vreemden tot een Zoom-conferentie.
Geautomatiseerde Zoom-vergaderingszoeker ‘zWarDial’ ontdekt ~ 100 vergaderingen per uur die niet zijn beveiligd met wachtwoorden. De tool heeft Zoom ook gevraagd om te onderzoeken of de standaard-wachtwoordbenadering mogelijk niet goed werkt https://t.co/dXNq6KUYb3 pic.twitter.com/h0vB1Cp9Tb
– briankrebs (@briankrebs) 2 april 2020
Volgens Krebs zou de Z-War-Dial-tool, die Zoom-videoconferenties kan detecteren die niet met een wachtwoord zijn beveiligd, momenteel ongeveer 100 van dergelijke vergaderingen per uur vinden. De tool kan geen met een wachtwoord beveiligde Zoom-videoconferenties vinden. Het probleem ligt enerzijds bij onoplettende gebruikers die vergeten hun vergadering dienovereenkomstig te beveiligen. Aan de andere kant lijkt er ook een probleem te zijn met Zoom. Omdat de tool eigenlijk een automatisch wachtwoord zou moeten toekennen – in veel gevallen lijkt dit volgens Krebs niet te werken.