El Vice Presidente de Producto de Search Pilot, Tom Anthony, hace unos meses atrás descubrió un problema en Zoom y hoy lo dio a conocer.
Anthony señaló lo siguiente: «hace unos meses me di cuenta de que Zoom no limita los intentos de contraseña para las reuniones y sólo tiene un millón de contraseñas. Lo que significa que puedes unirte a reuniones privadas en minutos.
So a few months ago I realised Zoom doesn't rate limit password attempts for meetings, and has only 1 million passwords. Meaning you could join private meetings within minutes. 😮 https://t.co/NDUEmzUprX
— Tom Anthony (@TomAnthonySEO) July 29, 2020
El por qué de esta falla es que las conferencias privadas de Zoom están protegidas por contraseñas de solo 6 dígitos numéricos, lo que significa 1 millón de combinaciones posibles y al no limitar los intentos de introducir la contraseña un atacante puede intentar las veces que quiera y al ser solo un millón, puede quebrar la contraseña en minutos.
Anthony demostró el problema utilizando procesamiento en la nube AWS. Luego de 25 minutos y de probar con 91.000 combinaciones de números, logró conocer la contraseña.
Tom Anthony en su momento reportó el problema a Zoom, quien rápidamente arregló el problema. De acuerdo a Anthony, Zoom ahora requiere que los usuarios se autentiquen y las contraseñas ahora son no numéricas y más largas.