В Zoom нашли баг — хакеры могли подключаться к конференциям и смотреть файлы

Ком­па­ния Check Point помо­га­ет боль­шим ком­па­ни­ям про­ти­во­сто­ять хаке­рам, кото­рые кра­дут дан­ные и день­ги кли­ен­тов. В про­шлом году кибер­ст­ра­жи про­ве­ри­ли Zoom — сер­вис видео­свя­зи, кото­рым поль­зу­ют­ся 60% ком­па­ний из спис­ка Fortune 500 (круп­ней­шие кор­по­ра­ции Аме­ри­ки). Дело­вые встре­чи, закры­тые звон­ки сотруд­ни­ков — все там. Конеч­но, нашли баг.

Ока­за­лось, что URL-адреса, кото­рые Zoom отправ­ля­ет на звон­ки, мож­но взло­мать. Надо зара­нее создать длин­ный спи­сок иден­ти­фи­ка­то­ров собра­ний (это 9–11 сим­во­лов в ссыл­ке) и быст­ро про­ве­рить, дей­стви­тель­ны они или нет. Если кон­фе­рен­ция не защи­ще­на паро­лем, к ней мож­но под­клю­чить­ся, полу­чить доступ к фай­лам и запи­сать разговор.

Check Point рас­ска­за­ли о баге Zoom и пред­ло­жи­ли все испра­вить. В ито­ге вышло боль­шое обнов­ле­ние: теперь все звон­ки защи­ще­ны паро­лем, а подо­зри­тель­ная актив­ность с ссыл­ка­ми при­во­дит к бло­ки­ров­ке устройства.

Источ­ник: Check Point