O Zoom anunciou ter corrigido uma nova falha de segurança que poderia permitir aos cibercriminosos criar links falsos de reuniões online, direcionando as vítimas para golpes de phishing. O bug foi descoberto pela empresa de segurança Check Point.

A vulnerabilidade estava no recurso Vanity URL, que permite aos usuários corporativos gerar links personalizados para reuniões, como por exemplo “suaempresa.zoom.us”, e utilizá-los para convidar os participantes. Ela poderia ser explorada de duas maneiras, de acordo com a equipe de especialistas.

Em um dos cenários, os hackers tinham a possibilidade de alterar a URL personalizada, incluindo um link direto para uma conferência virtual falsa, sem que os convidados notassem a diferença. O outro envolvia o uso da interface web personalizada do Zoom, inserindo nela um link malicioso.

A interface web do Zoom também podia ser usada na exploração desta falha.Fonte: Check Point/Reprodução

Segundo a Check Point, a exploração desta falha poderia resultar em tentativas de phishing, roubos de credenciais de acesso e informações sigilosas, além de diversas outras ações fraudulentas. Após a descoberta, o Zoom foi avisado e efetuou as correções necessárias, mas a companhia não informou se a vulnerabilidade chegou a ser explorada por criminosos virtuais.

Crescimento da base de usuários e falhas recorrentes

Com as determinações de distanciamento social para conter a disseminação do novo coronavírus, o Zoom se tornou uma das ferramentas de videoconferência mais populares do mundo. Em dezembro de 2019, a plataforma tinha 10 milhões de usuários diários, número que saltou para 300 milhões em abril deste ano.

Essa enorme procura pelo serviço acabou revelando algumas falhas no Zoom, despertando preocupações em relação à segurança e à privacidade, principalmente depois que algumas destas vulnerabilidades foram exploradas por cibercriminosos.

Nos últimos meses, a empresa anunciou diversas medidas para reforçar a segurança, como o lançamento de um patch de atualizações e a incorporação de criptografia de ponta a ponta nas chamadas de vídeo, entre outros tipos de ações.



Fonte: Tecmundo