近来爆红的Zoom安全设计不佳,继日前有350笔用户账号被公布到暗网上,又有安全研究人员发现有人在黑客论坛上,发布超过53万笔Zoom用户帐密,同时还有人询问要如何发动攻击。
由于Zoom的安全设计不良,加上用户欠缺安全意识,像是忽略以密码或pincode防护线上会议,或是英国首相强生(Boris Johnson)的meeting ID随截屏公开等,Zoom用户暴增后,也成为黑客下手的新目标。
安全厂商Cyble向BleepingComputer透露,该公司在本月初发现有人在黑客论坛上,公布Zoom用户个人信息,他先是以文本发布数百笔用户电子邮件和密码,以便在这个论坛上打开名气,免费泄露的资料包含如科罗拉多、佛罗里达州大学等用户账号。
之后安全公司出价向他购买,最后以每个账号0.002美元的价格买到53万笔用户个人信息,包括电子邮件、密码、Meeting URL及主持人密钥等。其中不乏知名金融公司如摩根大通、花旗银行及学校等机构用户。
经过求证,有些帐密仍然有效,有些则已是过时资料,后者显示可能来自之前的账号填充(credential attack)攻击。
同期又有另一家以色列安全厂商IntSights研究人员,在研究深网(deep web)及暗网(dark web)论坛时,发现有人分享一个数据库,包含2,300多笔Zoom用户账号的用户名及密码。
深究这个数据库,这些账号显示其他用户身份,像是用户所属的单位如银行、顾问公司、医疗机构、软件公司或教育机构等。外泄资料包括电子邮件和密码,有的更包括meeting ID、姓名及会议主持人密码。
IntSights首席安全官Etay Maor指出,攻击者利用Google或LinkedIn即可识别出Zoom账号主人,然后就能以这些信息冒充用户,进行商业电子邮件诈骗(Business Email Compromise,BEC)攻击,要求被害者同事转帐,或是分享重要的文件或信息。
这两起事件是否相关,或由不同人士所为,则不得而知。
研究人员还指出,地下论坛这篇Zoom用户资料贴文的后续回应,也值得关注。例如有人问到如何切入他人的Zoom会议,这就是之前FBI警告乱入Zoom会议的行为,名为Zoom Bombing。此外还有人特别问了Zoom核实(Zoom checker),及账号填充(credential stuffing)等攻击手法。Zoom核实是利用偷来的信用卡小额捐款测试该卡是否还能用,如果可行,歹徒就会用这张卡进行欺诈交易。论坛中甚至有人建议可以OpenBullet,这是一种针对Web App的开源渗透测试工具,但也可作为账号填充及DDoS攻击,之前也被拿来攻击智能门铃Ring的用户。
所有企业都可能被黑客以账号填充攻击,也就是拿现有电子邮件和密码到每个网站去测试,因此安全厂商呼吁用户必须确认自己在每个网站的帐密,都不可以重复用于其他服务账号。用户也可以到Have I Been Pwned资料外泄通知服务,输入自己的电子邮件测试是否曾经外泄。
上周以色列当地的安全公司Sixgill也向媒体透露,有黑客将盗来的352个Zoom账号公布于暗网。