Zoom es una aplicación que adquirió gran popularidad durante la pandemia por el Coronavirus Covid-19. De eso no hay una sola duda.
PUBLICIDAD
Pero también pasó a convertirse en objeto de múltiples ataques y exhibiciones de sus fallas de seguridad. La plataforma al parecer no estaba preparada para ese auge de fama y demanda.
Lo que detonó un periodo turbulento con muchos conflictos que dieron origen a la práctica del Zoom Bombing. Una dinámica donde intrusos ingresaban a reuniones privadas para básicamente arruinarlas.
Desde esos días la gente detrás de la plataforma se ha esforzado por mejorar sus candados y lo ha logrado relativamente. Pero alguien descubrió un fallo delicado que permite descifrar contraseñas de reuniones privadas.
Cómo hackeó todo
Un hacker de sombrero blanco bajo el nombre de Tom Anthony acaba de hacer público su caso con la gente de Zoom.
Ahí el sujeto relata cómo encontró un exploit que aprovechaba un detalle delicado en la seguridad de Zoom.
Ya que el sistema no tenía un límite en el número de intentos permitidos para ingresar contraseñas de reuniones privadas.
PUBLICIDAD
Así que sólo fue cuestión de desarrollar un script de Phyton y arrancar un ataque de fuerza bruta para dar con el password de seis dígitos en cerca de 30 minutos.
Incluso el hackeo podría hacerse más rápido si se utilizaban múltiples computadoras a la vez corriendo el script con distintas combinaciones, para lograr, literalmente más de un millón de intentos por minuto.
Anthony, según relata, compartió el problema con la gente de Zoom de inmediato y ese habría sido el motivo por el que se inhabilitó tanto tiempo el cliente de navegadores web desde abril.
El fallo se arregló y la seguridad de Zoom mejoró, pero en paralelo el chico dio seguimiento al programa de recompensas por encontrar fallos en la plataforma.
Este era un error grave dentro del servicio, pero, según marca en su crónica de los hechos desde abril y hasta julio solicitó que lo consideraran para recompensarlo y no sucedió.
Por ello habría hecho público todo.
