Zoom-bug gaf iedereen toegang tot beveiligde meetings

Een beveiligingsonderzoeker ontdekte een ernstige kwetsbaarheid in Zoom, die het in theorie mogelijk maakte om elke met een wachtwoord beveiligde meeting binnen te dringen. Zoom heeft het probleem ondertussen opgelost.

Beveiligingsonderzoeker Tom Anthony onthulde de kwetsbaarheid op zijn blog, nadat hij eerst Zoom persoonlijk op de hoogte had gesteld en het probleem werd opgelost.

De kwetsbaarheid schuilde erin dat Zoom zijn videovergaderingen standaard met een zescijferig wachtwoord beschermde. Dat brengt het totale aantal mogelijke combinaties op 1 miljoen. Anthony ontdekte dat je via de webclient van Zoom willekeurige combinaties kon blijven proberen, zonder dat er een limiet stond op het aantal pogingen. Met een eenvoudig script kon een aanvaller zo op enkele minuten tijd alle 1 miljoen mogelijke combinaties uitproberen.

Snel opgelost

Nadat Zoom op de hoogte werd gesteld van het probleem, werd de webclient offline gehaald en maakte het bedrijf snel werk van een oplossing. Zoom loste het probleem op door zowel te vereisen dat een gebruiker zich aanmeldt om deel te nemen aan een videovergadering, als door de standaardwachtwoorden langer te maken en niet alleen cijfers te gebruiken.

Zoom won snel aan populariteit na de uitbraak van de coronapandemie en de wereldwijde lockdowns die erop volgden. Al gauw bleek evenwel dat de videodienst, die oorspronkelijk voor gebruik in bedrijven werd ontworpen, niet voorbereid was op die plotse populariteit. Privacy- en securityproblemen staken de kop op, waardoor Zoom besloot om zich gedurende 90 dagen te focussen op het verbeteren van de veiligheid van zijn platform. Zo werd onder meer end-to-end encryptie verbeterd en verschillende beveiligingsproblemen aangepakt.