Старые ссылки – новые проблемы: не дайте злоумышленникам подделать вашу личность в Zoom

Zoom, популярная платформа для онлайн-встреч, привлекла внимание исследователей в области кибербезопасности из-за новой угрозы. Проблема связана с личным идентификатором встреч (Zoom Personal Meeting ID, PMI) — постоянным номером, привязанным к каждому Zoom-аккаунту.

PMI используется при создании персональных видеоконференций. Выглядит это, например, вот так:

zoom.us/j/5551112222

Пользователь может встроить зашифрованный пароль непосредственно в пригласительную ссылку. Так к комнате проще подключиться — не нужно вводить код вручную. Пример:

zoom.us/j/5551112222/pwd=jdjsklskldklsdksdklsdkll

По умолчанию это удобно, но, как часто бывает, удобство легко превращается в уязвимость. Если кто-то узнает ваш PMI, он может присоединиться к любой персональной конференции, если вы, конечно, не включили дополнительные настройки безопасности (не заблокировали встречу или не активировали функцию «Комнаты ожидания»)

Даже старая (но все еще доступная) ссылка, индексируемая поисковыми системами, такими как Google, может послужить приглашением для нежелательных гостей. Как выяснилось, с подобной проблемой столкнулись уже тысячи организаций.

С помощью таких лазеек злоумышленники создают новые встречи, выдавая себя за рядовых сотрудников. Ситуацию усугубляет то, что некоторые компании используют поддомены на Zoom.us — это делает поиск незащищенных адресов еще удобнее.

Команда KrebsOnSecurity выяснила: открытые конференции в Zoom есть у таких организаций, как Национальная футбольная лига (NFL), LinkedIn, Oracle, Humana, Disney, Warner Bros и Uber. Причем поиск занял у исследователей всего несколько минут. Сайт Archive.org подтверждает: некоторые из этих зомби-ссылок были созданы еще в 2020 и 2021 годах.

Чаран Акири, независимый специалист и инженер по безопасности еще раз подчеркнул, чем опасна такая система: «Ссылки, которые не имеют срока действия и не требуют пароля, могут быть использованы атакующими для подделки личности. Проникнув в систему, злоумышленники будут выдавать себя за представителей компании и устраивать «собрания», о которых пользователи даже не будут подозревать. Они могут взаимодействовать с другими сотрудниками или клиентами от лица организации. Уязвимость позволит им получить несанкционированный доступ к конфиденциальной информации и приведет к финансовым потерям, незаконной вербовке или мошенническим рекламным кампаниям».

Акири также рассказал, как себя обезопасить:

1. Не используйте PMI для публичных встреч. Это стандартный идентификатор, который не меняется, если пользователь не решит модифицировать его сам. Он удобен для быстрых созвонов с коллегами или друзьями. Для публичных переговоров больше подойдут уникальные коды, сгенерированные системой.

2. Требуйте пароль для входа. Это работает как для личных встреч по постоянному идентификатору (PMI), так и для конференций с уникальным кодом.

3. Ограничьте участие в конференции. Zoom позволяет настраивать параметры входа. Организатор может попросить участников авторизоваться, оставив свой почтовый адрес и имя, или ограничить вход по определенным доменам.