14 abr. 2020

Se regalan y venden cuentas de Zoom en distintos foros

Estas credenciales se recopilan a través de ataques automatizados donde los delincuentes intentan iniciar sesión en Zoom utilizando cuentas filtradas en violaciones de datos más antiguas. Los inicios de sesión exitosos se compilan en listas que se venden a otros delincuentes.

Algunas de estas cuentas de Zoom se ofrecen de forma gratuita en foros para que se puedan usar en bromas de ZoomBombing y otras actividades maliciosas. Otros se venden por menos de un centavo cada una.

La firma de inteligencia de seguridad Cyble le dijo a BleepingComputer que alrededor del 1 de abril, comenzaron a ver cuentas Zoom gratuitas publicadas en algunos foros. Estas cuentas se comparten a través de algunos sitios y se publican listas de direcciones de correo electrónico y contraseña.

En el ejemplo a continuación, 290 cuentas relacionadas con universidades como la Universidad de Vermont, la Universidad de Colorado, Dartmouth, Lafayette, la Universidad de Florida, y muchas más se liberaron de forma gratuita.
Cyble pudo comprar aproximadamente 530.000 credenciales de Zoom por menos de un centavo cada una. Las cuentas compradas incluyen la dirección de correo electrónico de la víctima, la contraseña, la URL de la reunión personal y su HostKey.

Cyble le dijo a BleepingComputer que estas cuentas incluyen las de empresas conocidas como Chase, Citibank, instituciones educativas y más.

Con estos ataques que utilizan cuentas expuestas en violaciones de datos anteriores y luego se venden en línea, el uso de una contraseña única en cada sitio evitará que una violación de datos de un sitio afecte a otro. También puede verificar si su dirección de correo electrónico se ha filtrado en violaciones de datos a través de los servicios de notificación como Have I Been Pwned y AmIBreached.

Problemas directos

Serían aquellos de los que es responsable la propia compañía. Entre ellos hay que destacar todas las vulnerabilidades que detallo con brevedad a continuación.
  • Posibilidad de entrar en reuniones con contraseñas débiles o sin contraseña mediante la técnicas de ZoomBombing o Zoom Raid. Aunque esto no se trate de una vulnerabilidad, sí que se trata de una decisión que premia la usabilidad frente a la seguridad. Y en estos momentos, les está pasando factura.
  • Un atacante podría hacerse con el hash NTLM de la contraseña de Windows de todos aquellos que hicieran click sobre un enlace especialmente manipulado.
  • Unos términos de uso pocos alineados con la realidad. Su popularidad hizo que alguien los leyera con atención, con la consiguiente protesta, y la posterior corrección por parte de Zoom.
  • El cliente de MacOs tenía ciertas vulnerabilidades que permitían la elevación de privilegios y acceso a cámara y micrófono. Estos fallos ya fueron solucionados en el cliente.
  • El cliente de IOS incluía autenticación con Facebook y enviaba información relativa a la zona horaria, la ciudad e informaba de si el usuario disponía de cuenta en la red social. Este fallo fue corregido.

Problemas indirectos

Los que podemos llamar problemas indirectos son las amenazas que corresponden a terceros que utilizan el valor de marca con fines fraudulentos. En esta línea, nos encontramos lo de siempre: malware que utiliza la imagen de Zoom para su distribución, registro de dominios y un largo etcétera tan previsible como peligroso.
  • 20 de marzo: Zoom publicó una entrada en su blog para ayudar a los usuarios con medidas como el uso de salas de espera, uso de contraseñas complejas, controles de silencio y limitación del uso compartido de pantalla.
  • Zoom reconoció que en los términos de uso no se aclaraba con exactitud cómo se lleva a cabo el cifrado pero aclaró que no se lleva a cabo grabación alguna de las charlas y que en todo momento la comunicación viaja cifrada por su infraestructura.
  • 27 de marzo: Zoom actualiza su aplicación de iOS, quitando la compatibilidad con Facebook.
  • 29 de marzo: Zoom actualizó su política de privacidad, aclarando que en ningún momento han traficado con información de sus usuarios.
  • 2 de abril: Se corrigieron los fallos de los clientes Windows y MacOs.
  • 7 de abril: Zoom comunica el parcheo de una grave vulnerabilidad que permitía a un atacante remoto hacerse con el control de la clave de cifrado de una sala de espera. Además, Zoom eliminó la funcionalidad de ‘seguimiento de atención de asistentes’, que permitía saber si un usuario estaba viendo la pantalla de la conferencia o si por el contrario tenía otra en primer plano.
  • 13 de abril: El portal Bleeping Computer se hace eco de la venta de cerca de medio millón de cuentas de Zoom a través de la Deep Web.
  • 14 de abril: Zoom notifica a sus usuarios de que a partir del día 18 de abril los usuarios de las cuentas de pago podrán elegir a través de qué zonas geográficas pueden enrutar su tráfico.
Fuente: BC | Hispasec

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!