Las reuniones de Zoom estaban protegidas por defecto con una contraseña numérica de 6 dígitos, lo que significa que existen aproximadamente 1 millón de contraseñas posibles como máximo.
Tom Anthony, vicepresidente de productos de SearchPilot, identificó recientemente una falla de seguridad que podría haber permitido a los atacantes potenciales descifrar el código de acceso numérico utilizado para asegurar reuniones privadas en la plataforma y espiar a los participantes.
Anthony informó el problema de seguridad a la compañía , junto con un script de prueba de concepto basado en Python, una semana después de la cual Zoom corrigió la falla. El script se aprovechaba de la ausencia de comprobaciones de intentos repetidos de contraseña incorrecta, y demostraba que un atacante puede aprovechar el cliente web de Zoom (https://zoom.us/j/MEETING_ID) para enviar continuamente solicitudes HTTP para probar el millón de combinaciones.
Después de recibir el reporte de Anthony, Zoom eliminó el cliente web a partir del 2 de abril para abordar la vulnerabilidad.
Una semana después, Zoom abordó el problema de la limitación de la tasa de intentos de contraseña al «requerir que un usuario inicie sesión para unirse a las reuniones en el cliente web y actualizar las contraseñas predeterminadas de las reuniones para que sean no numéricas y más largas». Luego de las correcciones realizadas Zoom subió nuevamente el cliente web. Con estas correcciones, el problema se resolvió por completo y no se requirió ninguna acción por parte del usuario.
Más información: