Falha no Zoom permitia descobrir senhas de reuniões por tentativa e erro

O serviço de videoconferência Zoom não limitava a quantidade de tentativas de senha para entrar em uma reunião, gerando uma falha de segurança que permitia descobrir a senha em questão de minutos apenas com tentativa e erro.

A brecha foi descoberta por Tom Anthony, um executivo de uma empresa especializada em otimizações para sites de busca, a SearchPilot.

Anthony, que diz ter a segurança on-line como “hobby”, comunicou o problema à Zoom no dia 1º de abril. Uma correção foi adotada pouco mais de uma semana depois, no dia 9 de abril. Mas o caso só veio a público nesta quarta-feira (29) por meio de uma publicação do próprio especialista.

Serviços on-line normalmente impõem um limite para tentativas de login e bloqueiam ou atrasam tentativas consecutivas. Anthony descobriu que a Zoom não adotava esse mecanismo de segurança em uma de suas plataformas – a do cliente web.

Por padrão, as senhas das reuniões da Zoom são de apenas seis dígitos numéricos, totalizando apenas um milhão de combinações. Realizando várias tentativas em paralelo, qualquer senha desse conjunto poderia ser descoberta em questão de minutos.

No campo da segurança digital, usa-se o termo “força bruta” para descrever um ataque capaz de quebrar um mecanismo de segurança através de tentativa e erro. Como nenhum sistema está imune a esse tipo de ataque, um serviço é considerado protegido quando adota medidas que tornam o ataque impraticável.

Para reuniões agendadas, a Zoom permite a definição de uma senha personalizada, inclusive com caracteres alfanuméricos – o que aumenta significativamente a quantidade de combinações. No entanto, procedimento é opcional.

Com a falha corrigida, não é mais possível realizar todas as tentativas necessárias para quebrar a segurança da reunião.

Zoom não exigia senhas

Quando começou a ganhar notoriedade, no início da pandemia do novo coronavírus, a Zoom não exigia que seus usuários configurassem uma senha para as reuniões. Sem essa proteção, as reuniões ficavam expostas e havia o risco de trotes ou espionagem – uma prática que ficou conhecida como “zoom bombing”. Em um caso, por exemplo, um homem nu conseguiu entrar em uma conferência de aula remota.

Também era possível realizar um ataque de força bruta para mapear as reuniões no Zoom e encontrar todas as que estivessem desprotegidas. Mesmo quem não divulgasse o código da reunião, portanto, poderia ser vítima de “zoom bombing”.

Diante desse problema, a companhia decidiu configurar uma senha padrão, que era integrada ao endereço da reunião. Quem compartilhava as reuniões apenas por links nem percebeu a mudança.

No entanto, uma das facilidades do serviço da Zoom é a possibilidade de encontrar reuniões com um identificador numérico. Nesse caso, a senha precisa ser compartilhada junto com o número da reunião. Qualquer alteração no formato das reuniões da Zoom acabaria dificultando (ou, pelo menos, modificando) a maneira como as pessoas interagem com o serviço.

Outros serviços de videoconferência usam identificadores mais extensos, o que dificulta esse tipo de ataque, mas também requer mais planejamento para divulgar as informações que permitem participar de uma reunião.

No dia 1º de abril, a Zoom iniciou um período de dedicação exclusiva a melhorias em segurança. Essa fase durou três meses, até 30 de junho. No dia 24 de junho, a Zoom anunciou a contratação de um novo diretor de segurança, Jason Lee, que atuava na Salesforce. Richard Farley, que ocupava o cargo desde 2018, passou a ser vice-diretor da área.