Zoom Bombing
Com a pandemia de coronavírus levando mais organizações a adotar o trabalho remoto, mantendo seus funcionários em casa, as plataformas de conferência online tiveram um grande aumento. O Zoom, um software de vídeo conferência que rapidamente se popularizou entre usuários corporativos e domésticos, pela sua facilidade de uso e por ter uma versão grátis (com limite de até 100 pessoas e 40 minutos de reunião). De Dezembro de 2019 a Abril de 2020, a ferramenta pulou de 10 milhões de usáruios para 300 milhões!
Mas a má notícia é que o Zoom ganhou um destaque especial pois, junto coma fama, surgiram diversas denúncias de falhas de segurança.
Uma dessas falhas, batizada de Zoom Bombing (ou "Zoombombing", tudo junto), acontece quando pessoas não autorizadas descobrem o link de acesso a uma conferência ativa e acessam ela, indevidamente. Pipocaram notícias de trolls tirando vantagem dessa falha para invadir ou seqüestrar reuniões on-line. Isso acontece com frequência pois o Zoom utiliza um identificador para cada reunião, formado por poucos caracteres - e, portanto, facilmente mapeável.
Uma vítima famosa desse ataque foi o primeiro ministro britânico, Boris Johnson. Ao divulgar uma foto da tela de seu computador com uma reunião interna, era possível ver o identificador da conferência, no Zoom, e assim qualquer pessoa poderia entrar na reunião.
As notícias de incidentes de Zoom Bombing relatam pessoas participando de reuniões não só pela zoeira, mas também para espalhar discursos de ódio, com mensagens racistas, e constranger os participantes com imagens pornográficas. Isso inviabiliza as reuniões, causando impacto desagradável aos negócios. Em caso de empresas e governos, a presença de um "bicão" em uma reunião online pode representar um sério risco de vazamento de dados.
É muito simples minimizar o risco de alguma pessoa não desejada entrar em sua videoconferência, basta seguir alguns cuidados:
- Não compartilhe publicamente informações sobre as reuniões online, incluindo imagem das telas dos participantes;
- Cadastre uma senha de acesso em sua reunião. Ao criar o convite para a reunião, muitas plataformas permitem definir uma senha de acesso. Assim, além do identificador da reunião, o penetra precisaria adivinhar a senha para conseguir entrar na chamada;
- Use o recurso de sala de espera, existente em vários aplicativos. Isso permite controlar a admissão de convidado;
- Não compartilhe publicamente o link para uma teleconferência. Forneça o link somente para as pessoas convidadas;
- Cuidado ao compartilhar sua tela;
- Sempre utilize a versão mais atualizada dos aplicativos de videoconferência.
Para saber mais:
- FBI Warns of Teleconferencing and Online Classroom Hijacking During COVID-19 Pandemic
- Artigo bem legal sobre os problemas do Zoom, bem detalhado: "Zoom security issues: Zoombombings continue, include racist language and child abuse"
- Artigo na The Hack: "Zoom: tudo o que você precisa saber sobre as polêmicas envolvendo o software"
- Blog do Zoom sobre os problemas de segurança (01/Abril): A Message to Our Users
- Blogo do Zoom: "How to Keep Uninvited Guests Out of Your Zoom Event"
- Aqui no blog: Cuidados de segurança para as Videoconferências
- Veja esse vídeo curto da The Verge, bem legal, explicando a treta do Zoom:
PS: Pequena atualização em 01/05.
PS/2: Veja esse caso: "Hacker invade sessão do TRT-20 e coloca funk e “gemidão”" (adicionado em 19/08)
PS 3: Post atualizado com pequenos ajustes no texto em 19/10.
Nenhum comentário:
Postar um comentário