Εκατοντάδες λογαριασμοί Zoom εκτίθενται στο Dark Web
Εκατοντάδες λογαριασμοί Zoom εκτίθενται στο dark web: Καθώς η πανδημία του Κορωνοϊού πλήττει μεγάλο αριθμό χωρών σε όλο τον κόσμο, πολλοί καταφεύγουν στην χρήση εφαρμογών, πραγματοποιώντας βιντεοκλήσεις και τηλεδιασκέψεις.
Εκατοντάδες λογαριασμοί Zoom εκτίθενται στο dark web: Καθώς η πανδημία του Κορωνοϊού πλήττει μεγάλο αριθμό χωρών σε όλο τον κόσμο, πολλοί καταφεύγουν στην χρήση εφαρμογών, πραγματοποιώντας βιντεοκλήσεις και τηλεδιασκέψεις. Μια από αυτές τις εφαρμογές είναι το Zoom, το οποίο όμως έχει παρουσιάσει πολυάριθμα ζητήματα ασφαλείας μέχρι στιγμής, ενώ τώρα προστίθεται ένα νέο ζήτημα που αφορά την δημοφιλή εφαρμογή τηλεδιάσκεψης – λογαριασμοί χρηστών εκτίθενται στο dark web.
Η εταιρεία κυβερνοασφάλειας Sixgill ανακάλυψε πρόσφατα μια συλλογή 352 λογαριασμών Zoom που έχουν παραβιαστεί. Οι λογαριασμοί αυτοί κοινοποιήθηκαν από έναν χρήστη σε ένα δημοφιλές φόρουμ του dark web. Έτσι διέρρευσαν πληροφορίες χρηστών του Zoom, όπως η διεύθυνση email, οι κωδικοί πρόσβασης, το meeting ID και το όνομα του υπολογιστή. Τα κλεμμένα credentials επισημάνθηκαν με βάση τον τύπο του λογαριασμού Zoom, πράγμα που σημαίνει ότι μερικές από τις πληροφορίες που εκλάπησαν περιλάμβαναν τους χρήστες που πληρώνουν ένα ποσό για καλύτερη εξυπηρέτηση στην εφαρμογή. Ο Dov Lerner, επικεφαλής της έρευνας ασφαλείας στην Sixgill, δήλωσε στο Mashable ότι χάκερς ευχαρίστησαν τον ανώνυμο χρήστη για την κοινοποίηση αυτών των ευαίσθητων πληροφοριών χρηστών του Zoom, με έναν να αποκαλύπτει μάλιστα ότι πρόκειται να κάνει troll σε meetings που πραγματοποιούνται στην εφαρμογή.
Ωστόσο, το online trolling δεν είναι το μόνο πράγμα που μπορεί να κάνει κάποιος με τις πληροφορίες που κοινοποιούνται από αυτούς τους λογαριασμούς Zoom. Οι πληροφορίες θα μπορούσαν να χρησιμοποιηθούν για troll εις βάρος του κατόχου του λογαριασμού ή εκείνων που συμμετέχουν στις κλήσεις αυτού. Παράλληλα, αυτά τα credentials θα μπορούσαν να χρησιμοποιηθούν για εταιρική ή προσωπική παρακολούθηση, κλοπή ταυτότητας και άλλες κακοήθεις ενέργειες, σύμφωνα με τον Lerner. Υπάρχουν διάφοροι τρόποι με τους οποίους ένας χάκερ μπορεί να χρησιμοποιήσει τους λογαριασμούς που έχουν παραβιαστεί. Σύμφωνα με την Sixgill, ενώ οι ερευνητές ασφαλείας της διαπίστωσαν ότι οι περισσότεροι από τους 352 λογαριασμούς είναι προσωπικοί, κάποιοι ανήκουν σε εκπαιδευτικά ιδρύματα ή μικρές επιχειρήσεις, ενώ ένας από τους λογαριασμούς είναι σημαντικός πάροχος υγειονομικής περίθαλψης των ΗΠΑ.
Τί είναι όμως το dark web όπου κοινοποιήθηκαν αυτοί οι λογαριασμοί;
Το dark web είναι ένας ανώνυμος διαδικτυακός ιστός που περιλαμβάνει ιστότοπους, φόρουμ και άλλους online προορισμούς που απαιτούν για πρόσβαση έναν συγκεκριμένο web browser που ονομάζεται Tor. Αυτό σημαίνει ότι οι χρήστες δεν μπορούν να επισκεφτούν αυτούς τους ιστότοπους απλά πληκτρολογώντας μια διεύθυνση URL στο Google Chrome ή στον Firefox. Άλλωστε αυτοί οι ιστότοποι δεν εμφανίζονται στις μηχανές αναζήτησης.
Η συλλογή των παραβιασμένων λογαριασμών Zoom ανακαλύφθηκε από την Sixgill την 1η Απριλίου, δεδομένων των ολοένα αυξανόμενων σχολίων που δημοσιεύονταν για το Zoom αναφορικά με τις πρακτικές ασφαλείας και την προστασία της ιδιωτικότητας των χρηστών του. Ενώ πρόκειται για μία αρκετά δημοφιλή εφαρμογή τηλεδιάσκεψης που επιλέγουν πολλοί ενόψει της πανδημίας του Κορωνοϊού, αυτή εμφανίζει σημαντικά ζητήματα ασφαλείας. Ερευνητές ασφαλείας έχουν επισημάνει ότι η εφαρμογή μπορεί να χρησιμοποιηθεί από εργοδότες για αποτελεσματική κατασκοπεία των υπαλλήλων τους κατά την απομακρυσμένη εργασία. Επιπλέον, πρόσφατα ήρθε στο φως της δημοσιότητας ότι το Zoom διέρρευσε δεδομένα χρηστών στο Facebook, ενώ το ίδιο συνέβη και με το LinkedIn, εκθέτοντας χρήστες εν αγνοία τους.
Ακόμη, εντοπίστηκε ένα σφάλμα που επέτρεψε σε χάκερς να κλέψουν κωδικούς πρόσβασης Windows μέσω του Zoom. Αυτά τα ζητήματα ασφαλείας έκαναν τον γύρο του διαδικτύου, με αποτέλεσμα να επινοηθεί για την εφαρμογή ο όρος “Zoom-bombing”, o οποίος αναφέρεται στην εύρεση ενός meeting ID και στην παραβίαση ενός Zoom meeting. Οι λογαριασμοί που ανακάλυψε η Sixgill περιελάμβαναν meeting IDs, πράγμα που σημαίνει ότι όλοι αυτοί οι χρήστες θα μπορούσαν να αποτελέσουν αντικείμενο συγκεκριμένης δράσης. Τα πράγματα πήραν τόσο αρνητική τροπή ώστε την προηγούμενη εβδομάδα ο CEO της Zoom, Eric Yuan, ζήτησε συγνώμη για τα ζητήματα ασφαλείας που προέκυψαν, τονίζοντας ότι τις επόμενες 90 ημέρες η εταιρεία θα επικεντρωθεί στον καθορισμό των σφαλμάτων ασφαλείας και στην προστασία της ιδιωτικότητας των χρηστών. Όμως ένα πράγμα με το οποίο πρέπει να ασχοληθεί περισσότερο η εταιρεία είναι να εξηγήσει πώς credentials από 352 λογαριασμούς χρηστών του Zoom βρέθηκαν στα χέρια χάκερς.
Σοβαρά θέματα ιδιωτικότητας και ασφαλείας για την εφαρμογή τηλεδιασκέψεων Zoom
Αυξάνονται συνεχώς και οι αναφορές από ερευνητές πως η δημοφιλής -λόγω πανδημίας- εφαρμογή Zoom, που χρησιμοποιείται από δεκάδες εκατομμύρια εταιρικούς, κυβερνητικούς και απλούς χρήστες για τηλεδιασκέψεις και επικοινωνία online, έχει προβλήματα ιδιωτικότητας και ασφαλείας.
Μέχρι την περασμένη εβδομάδα -μετά την αποκάλυψη το σταμάτησε- η έκδοση για iOS μοίραζε δεδομένα των χρηστών της με το Facebook. Σε άλλη αποκάλυψη, έγινε γνωστό πως είναι δυνατή η υποκλοπή κωδικών από την εφαρμογή για Windows. Παράλληλα στους όρους χρήσης, έλεγε πως μπορούσε να εκμεταλλευτεί τα δεδομένα στο cloud για διαφημιστικούς και άλλους λόγους. Οι όροι χρήσης τροποποιήθηκαν όταν και αυτό έγινε γνωστό από ερευνητές.
Εδώ αναλυτικά το άρθρο του Electronic Frontier Foundation.
Σε νέα αποκάλυψη για το Zoom, καταρρίφθηκε ο ισχυρισμός του πως προσφέρει end-to-end encryption, μιας και δίνει μόνο Transport Encryption (TLS), κάτι που κάνει δυνατή την ανάγνωση των δεδομένων από το Zoom ή τον server στον οποίο συνδέεται ο χρήστης.
Transport encryption is a Transport Layer Security (TLS) protocol, that secures the connection between you and the server you’re connected to. That’s the same encryption used in a secure connection between you and any website with HTTPS protocol. The key difference between transport encryption and end-to-end encryption is that Zoom (or the server you’re connected to) will be able to see your data.
Σε απάντηση από την Zoom, έγινε παραδοχή πως δεν υποστηρίζεται end-to-end κρυπτογράφηση, αλλά αποκλείει την οποιαδήποτε πρόσβαση ή μεταπώληση των δεδομένων.
Currently, it is not possible to enable E2E encryption for Zoom video meetings. Zoom video meetings use a combination of TCP and UDP. TCP connections are made using TLS and UDP connections are encrypted with AES using a key negotiated over a TLS connection.
Χιλιάδες εγγραφές τηλεδιασκέψεων ανέβηκαν στο YouTube
Τα ζητήματα σχετικά με την ιδιωτικότητα δείχνουν να μην έχουν τέλος για την εφαρμογή τηλεδιασκέψεων Zoom. Όπως ανακαλύφθηκε πρόσφατα, χιλιάδες εγγραφές βίντεο κλήσεων χρηστών του Zoom έχουν μεταφορτωθεί στο YouTube και το Vimeo και είναι διαθέσιμες σε όλους.
Το ζήτημα αυτό, εντοπίζεται στον τρόπο που η εφαρμογή ονομάζει τις εγγραφές βίντεο κλήσεων με πανομοιότυπο τρόπο. Αρκετές εγγραφές έχουν μεταφορτωθεί στο Amazon Web Services και μπορούν να βρεθούν στο διαδίκτυο χρησιμοποιώντας μια μηχανή αναζήτησης που ψάχνει μέσω του cloud storage. Επίσης, εκτός από τις εγγραφές, χιλιάδες βίντεο από την εφαρμογή μεταφορτώθηκαν στα YouTube και Vimeo, αρκετά εκ των οποίων περιείχαν μάλιστα προσωπικά στοιχεία καθώς και προσωπικές συνομιλίες.
Η εφαρμογή Zoom, προσφέρει στους χρήστες της την επιλογή να καταγράψουν και να αποθηκεύσουν μία τηλεδιάσκεψη εφόσον το επιθυμούν, όμως δεν καταγράφει τις συνομιλίες από προεπιλογή. Η εταιρεία έχει ενημερωθεί για το θέμα και εργάζεται ήδη για την επίλυσή του.
Το Zoom παράγει κλειδιά κρυπτογράφησης στην Κίνα
Όπως αναφέρθηκε από το Intercept, το Zoom βρέθηκε να εκδίδει κλειδιά κρυπτογράφησης από servers που βρίσκονται στην Κίνα ακόμα και όταν όλοι οι συμμετέχοντες μίας τηλεδιάσκεψης προέρχονταν από την Αμερική.
Συγκεκριμένα, όπως διαπιστώθηκε από ερευνητές του Πανεπιστημίου του Τορόντο, ορισμένοι από τους server που εκδίδουν κλειδιά κρυπτογράφησης κατά τη διάρκεια τηλεδιασκέψεων, εντοπίζονταν στην Κίνα. Στις δοκιμές που πραγματοποίησαν οι ερευνητές, διαπίστωσαν ότι το κλειδί κρυπτογράφησης κοινόχρηστης συνάντησης κατά τη διάρκεια μιας τηλεδιάσκεψης “αποστέλλεται σε έναν από τους συμμετέχοντες μέσω TLS από έναν server της Zoom που βρίσκεται στο Πεκίνο”.
Αυτή η ανακάλυψη, εγείρει προφανώς ανησυχίες σχετικά με την ασφάλεια των δεδομένων των χρηστών, αφού η εφαρμογή μπορεί να υποχρεωθεί να μοιραστεί ορισμένα από αυτά τα κλειδιά με την κινεζική κυβέρνηση, αν το απαιτήσει, όπως ορίζουν οι νόμοι της χώρας.
Πρόκειται για ακόμα ένα ζήτημα ασφαλείας που έρχεται να προστεθεί στα ήδη υπάρχοντα. Την Παρασκευή, η εταιρεία δημοσίευσε μία επίσημη ανακοίνωση προς τους χρήστες της, ζητώντας συγγνώμη για τα θέματα που έχουν προκύψει τον τελευταίο καιρό. Επιπλέον δήλωσε ότι δεν σκοπεύει να κυκλοφορήσει κάποιο νέο χαρακτηριστικό για τις επόμενες 90 μέρες, προκειμένου να αφοσιωθεί στην επίλυση των προβλημάτων αυτών.
Λαμβάνοντας λοιπόν υπόψη τα συνεχώς αυξανόμενα θέματα ασφαλείας που εντοπίζονται στο Zoom, ίσως θα ήταν προτιμότερο να επιλέξετε κάποια άλλη εναλλακτική εφαρμογή, ώστε να αποφύγετε το ρίσκο.