Half miljoen Zoom-accountgegevens te koop via darkweb

De accountgegevens van meer dan 500.000 Zoom-gebruikers staan online te koop of te geef. De data lijken niet gelekt door Zoom, maar afkomstig van slechte cyberhygiëne van de slachtoffers zelf.

Beveiligingsbedrijf Cyble ontdekte meer dan 500.000 logingegevens van Zoom-gebruikers op het darkweb. Sommige data zijn gratis beschikbaar, andere aan één cent per account. De gelekte gegevens omvatten mailadressen met bijhorende wachtwoorden en urls om persoonlijke vergaderingen op te zetten.

De gegevens werden gelekt door hackers die met de lage prijs hun reputatie een boost willen geven. De data zelf is niet afkomstig van Zoom-servers, maar van andere hacks. De criminelen maakten gebruik van credential stuffing. Dat is een techniek waarbij logingegevens, die eerder lekten via hacks bij andere diensten, worden getest op een nieuwe dienst, in dit geval Zoom. Omdat mensen ondanks waarschuwingen wachtwoorden blijven hergebruiken, levert dat in veel gevallen een positief resultaat op. De lijst van gegevens op het darkweb zou geverifieerde gegevens voor de 500.000 slachtoffers bevatten.

Oplossingen

Hoewel het beveiligingsprobleem niet origineert bij Zoom, kan de videovergaderdienst wel meer doen om dergelijke problemen te mitigeren. De wachtwoorden zijn afkomstig van eerdere hacks en die databases zijn online beschikbaar. Zoom kan wachtwoorden preventief tegen zo’n databases checken en gebruikers verplichten hun wachtwoord te wijzigen wanneer er een overeenkomstige combinatie wordt gevonden. Verder lost tweefactorauthenticatie het probleem natuurlijk op.

Of Zoom ernaar kijkt om die functies te integreren, is onduidelijk. Het bedrijf beloofde wel om de komende maand de focus op beveiliging en privacy te leggen. De afgelopen weken steeg Zoom immens in populariteit, maar dat legde een heleboel onderliggende problemen bloot. Als gebruiker is het nooit een goed idee om een wachtwoord te hergebruiken, en al zeker niet wanneer dat aan een gelijkaardige gebruikersnaam gekoppeld is bij een andere dienst.

Lees ook: Zoom kondigt broodnodige nieuwe privacymaatregelen aan