پژوهشگران پایگاهی از گواهینامههای ویدئو کنفرانس Zoom را کشف کردند که شامل ایمیلها و گذرواژهها و شناسههای جلسات و نام و کلیدهای میزبان است. گواهینامههای کامل ممکن است در فعالیتهای مختلف از zoombombing گرفته تا حملات BEC مورد استفاده قرار گیرند.
این پایگاه داده توسط IntSights در وب تاریک کشف شد. این یک پایگاه دادهی بزرگ نیست و تنها دارای ۲٬۳۰۰ رکورد است و کوچکتر از آن است که یک افشای داده محسوب شود، اما برای نمایش مجموعهی تصادفی از اطلاعات کشفشده بهصورت آنلاین بسیار بزرگ است. با این وجود، حالت دوم محتملتر است، زیرا کاربران Zoom نسبت به محافظت از اطلاعات بسیار سهلانگار هستند.
در ۲۷ ماه مارس سال ۲۰۲۰ میلادی، نخستوزیر انگلیس، بوریس جاانسون بیان کرد که اولین جلسهی Cabinet دیجیتال دولت انگلیس را برگزار کرده است. تصویری که وی از صفحه نمایش خود منتشر کرد، شناسهی جلسهی Zoom را نشان داد. جانسون احتمالاً فکر میکرد که نمایش این شناسه بیخطر است، زیرا جلسه به پایان رسیده بود، اما این شناسه مخصوص همان جلسه نبود بلکه متعلق به همهی جلساتی است که توسط صاحب حساب برگزار میشود.
افزودن این شناسه به یک آدرس اینترنتی که معمولاً بهراحتی قابل حدس است، اولین قدم برای دسترسی به همهی جلسات ویدئو کنفرانس برگزارشده توسط آن حساب است. میتوان امیدوار بود که NCSC از آقای جانسون درخواست کرده است تا این حساب را حذف کند و یک حساب جدید با یک شناسهی متفاوت ایجاد کند.
بااینحال، داشتن این اطلاعات بهسادگی امکان zoombombing را در یک کنفرانس فراهم میکند. دسترسی به یک شناسه و گذرواژه به یک مهاجم اجازه میدهد تا حساب باز کند و یک جلسهی ویدئو کنفرانس جدید با نام صاحب حساب آغاز کند که این مسأله خطرات بسیاری ایجاد میکند.
در برخی موارد، این پایگاه دادهی کشفشده توسط InSights شامل بخشی از اطلاعات است، در موارد دیگر شامل مجموعهی کاملی از اطلاعات ازجمله PIN code همهی جلسات باز است. مهاجم با دسترسی به آدرس اینترنتی، این شناسه و PIN code میتواند وارد یک ویدئو کنفرانس شود و کنترل آن را به دست گیرد و حتی شرکتکنندگان در جلسه را حذف کند. این گواهینامههای موجود در پایگاه داده شامل اطلاعات شخصی، حسابهای شرکتی بانکها، شرکتهای مشاوره، امکانات آموزشی، ارائهدهندگان خدمات بهداشتی و شرکتهای نرمافزاری هستند.
دسترسی به شناسه و گذرواژهی حسابهای Zoom یک روش جمعآوری اطلاعات به نام credential stuffing را نشان میدهد که شامل تعداد زیادی آدرس ایمیل و گذرواژهی موجود در وب تاریک و روش معمول استفادهی مجدد از گذرواژهها در حسابهای متعدد است. یک پویش credential stuffing ممکن است برای ورود اولیه به حسابهای Zoom مورد استفاده قرار گیرد.
مدیر ارشد استراتژی IntSights بیان کرد که بحثهایی که پس از افشای این پایگاه داده در وب تاریک مطرح شد، مربوط به نحوهی انجام حملات خودکار علیه Zoom بود. در واقع چیزی که اتفاق میافتد، استفاده از Zoom checkerها است. یک checker نوعی جعل کارت بانکی است که در آن یک پرداخت میکرو علیه گواهینامههای کارت سرقتشده انجام میشود تا بررسی شود که آیا حساب مربوط به آن فعال و معتبر است یا خیر؟ به نظر میرسد که آنها در حال ساخت ابزارهای مختلف برای بررسی و خودکارسازی فرآیند کشف حسابهای معتبر مربوط به نامهای کاربری و گذرواژهها هستند.
تهدید بالقوه zoombombing ساده نیست. در صورتی که مهاجم تعداد زیادی حساب داشته باشد، یک بخش از OSINT در آدرس ایمیل میتواند مکان هر یک از صاحبان حساب با موجودی بالا مانند مدیرعاملها را پیدا کند. لینکدین نیز میتواند مکان مدیر مالی شرکت را پیدا کند و مهاجم میتواند با استفاده از همان ساختار آدرس ایمیل مدیرعامل، آدرس ایمیل مدیر مالی شرکت را حدس بزند.
مهاجم با دسترسی به حساب Zoom مدیرعامل، میتواند به مدیر مالی شرکت ایمیل بزند و بگوید که میخواهد با او در Zoom صحبت کند. این یک مهندسی اجتماعی استاندارد است که مجرمان صدا را نویزدار و تصویر ویدئویی را تار میکنند. درحالحاضر این به یک فرصت BEC جدید تبدیل شده است. از دست دادن گواهینامههای Zoom تنها ویدئوکنفرانسهای کاربران را در معرض ایجاد مزاحمت قرار نمیدهد بلکه در حین انجام کار از خانه شرکت را در معرض تهدید یک بردار تهدید BEC جدید قرار میدهد.