Nel mondo delle web conference, oggi di gran moda per tenere in contatto persone che collaborano o si incontrano da remoto, non solo i servizi sono gratuiti. Anche le credenziali rubate dagli hacker sono rese disponibili quasi gratis nei mercati underground, come successo di recente con 530mila credenziali trafugate da utenti Zoom e distribuite online (dati comprensivi di personal meeting URLs e Zoom host keys).
Alcuni sospettano si tratti di credenziali non più utilizzabili e quindi “svendute”. Cosa potrebbe fare infatti un hacker con gli account per le web conference? “Le credenziali compromesse di Zoom potrebbero consentire ai criminali informatici di accedere alle call web, dove vengono condivisi file sensibili, dati sulla proprietà intellettuale e informazioni finanziarie – ha scritto di recente Pierguido Iezzi. I criminali informatici possono anche utilizzare queste credenziali per scopi di social-engineering. Se l’aggressore è in grado di identificare la persona di cui ha compromesso l’account (e questo non richiede troppo tempo – basta usare Google e LinkedIn), allora può potenzialmente impersonare quella persona e organizzare incontri con altri dipendenti dell’azienda”.
Come noto sono stati numerosi i problemi di sicurezza incontrati nell’ultimo mese da Zoom, popolare app di web conference: sottolineiamo, molto popolare. E’ passata da 10 milioni di utenti a fine 2019 ai 200 milioni a fine marzo 2020, e la sua capitalizzazione in Borsa (grazie al lockdown da coronavirus e alla corsa alle videoconferenze da parte di aziende, famiglie, scuole per qualsiasi cosa, dalle lauree ai matrimoni) è oggi pari a 31,7 miliardi di dollari, come il valore sommato di American Airlines, Expedia e Hilton.
Così, mentre l’app di Zoom veniva scaricata da milioni di persone, salendo tutte le classifiche e superando per numero di download anche le più popolari App social (come riporta la figura successiva, riferita al mercato USA: 3,2 milioni di download in 1 settimana, tra il 26 marzo e il 1° aprile 2020) l’azienda, alla rincorsa del successo, metteva in secondo piano la sicurezza e incorreva così in un’infinità di bug e procedure errate.
I problemi di sicurezza di Zoom, nell’ultimo mese, sono stati numerosissimi: li elenchiamo qui in sintesi (ne avevamo parlato anche in un precedente articolo):
- Invio di informazioni sugli utenti a Facebook (anche per utenti NON registrati al social network)
- Scarsa attenzione alla privacy degli utenti: funzione (poi tolta) di “attendee tracking”, e tracciatura dei messaggi di testo
- Vulnerabilità nelle App, con la possibilità per gli attaccanti di installarle senza consenso degli utenti, di rubare le credenziali, di entrare nel sistema senza il permesso
- Possibilità per i partecipanti (se iscritti al LinkedIn Sales Navigator) di accedere a informazioni LinkedIn di altri partecipanti a loro insaputa
La funzione di Zoom che permetteva di accedere alle informazioni LinkedIn dei partecipanti di una riunione senza il loro consenso.
- Possibilità per sconosciuti (ma con lo stesso dominio, ad esempio, utenti di uno stesso ISP) di avviare call avendo visibilità completa dei contatti condivisi da Zoom (problema poi risolto)
- Mancata crittografia end-to-end delle chiamate
- Una vulnerabilità che ha avuto poi grande clamore (in parte risolta, sono state fornite istruzioni su come configurare meglio il sistema per evitarla) è quello che ha permesso lo “Zoombombing”, ossia, la possibilità per esterni di indovinare un Meeting ID e quindi potersi aggiungere in modo non protetto a un meeting in corso (come riportato nel tweet di Brian Krebs).
Automated Zoom conference meeting finder ‘zWarDial’ discovers ~100 meetings per hour that aren’t protected by passwords. The tool also has prompted Zoom to investigate whether its password-by-default approach might be malfunctioning https://t.co/dXNq6KUYb3 pic.twitter.com/h0vB1Cp9Tb
— briankrebs (@briankrebs) April 2, 2020
Ecco quindi coniato il nuovo termine, “Zoombombing”, con cui si intendono azioni di disturbo organizzate che portano gli hacker a introdursi in videochiamate e riunioni a distanza. Aggressioni con insulti, minacce e molestie che ricordano molto quelle che negli ultimi anni si sono viste sui social network.
Da notare che i vari problemi messi in luce dai ricercatori, hanno avuto anche conseguenze molto reali: ad esempio, le situazioni con Zoombombing a un certo punto sono esplose in tutto il mondo, con interruzioni durante eventi culturali a distanza, incontri religiosi, corsi online, riunioni di amministrazione. Tanto che lo stesso FBI ha rilasciato il 30 marzo un alert riportando il fatto di aver ricevuto moltissime segnalazioni da scuole del Massachusetts su intrusioni di troll con attacchi verbali di vario genere durante le lezioni.
Ulteriore problema, a inizio aprile – di nuovo per una cattiva gestione interna – Zoom ha ammesso di aver “erroneamente” instradato alcuni dati degli utenti attraverso i server collocati in Cina. La società ha dichiarato che alcune riunioni tenute dai suoi utenti non cinesi potrebbero essere state “autorizzate a connettersi a server in Cina, dove non avrebbero dovuto essere in grado di connettersi“.
È chiaro che negli ultimi mesi la visione di Eric Yuan, fondatore e Ceo di Zoom, è stata improntata ad accelerare il più possibile la diffusione dell’app, oggi tra le prime nell’area delle video chat per numero di download (come riporta la figura successiva riferita ai numeri globali), senza però tenere abbastanza in considerazione privacy e sicurezza.
Le intenzioni ora sono chiaramente quelle di correre ai ripari. Alcune inavvertenze lato privacy fanno sorridere, perché chiaramente l’obiettivo degli sviluppatori era quello di offrire una “ricca esperienza d’uso” a tutti i partecipanti. Con una filosofia di sviluppo per cui i dati degli utenti sono immediatamente accessibili a tutti, e l’accesso alle call semplificato il più possibile (Tanto che vi accede chiunque …). Non va dimenticato che l’App è molto apprezzata dagli utenti, come dimostra una vistosa crescita che la portata a superare negli ultimi mesi le principali rivali.
Ultima notizia, Zoom ora è ben decisa a porre rimedio, e chi ha arruolato? Alex Stamos, 41 anni, californiano di Sacramento, docente al Centro per la sicurezza e la cooperazione internazionale dell’Università di Stanford ed ex capo della sicurezza di Facebook. Samos si è dimesso da Facebook in seguito allo scandalo Cambridge Analytica, ed era a capo della Security di Yahoo! ai tempi del data breach.
A cura di:
Elena Vaciago
Associate Research Manager, The Innovation Group