Cuidado: hacker encuentra fallo en Zoom para robar cualquier contraseña

Cuidado: hacker encuentra fallo en Zoom para robar cualquier contraseña

Un hacker de sombrero blanco hace pública su historia donde encontró un método para descifrar contraseñas de reuniones privadas en Zoom.

Zoom es una aplicación que adquirió gran popularidad durante la pandemia por el Coronavirus Covid-19. De eso no hay una sola duda.

Pero también pasó a convertirse en objeto de múltiples ataques y exhibiciones de sus fallas de seguridad. La plataforma al parecer no estaba preparada para ese auge de fama y demanda.

Lo que detonó un periodo turbulento con muchos conflictos que dieron origen a la práctica del Zoom Bombing. Una dinámica donde intrusos ingresaban a reuniones privadas para básicamente arruinarlas.

Zoom: ¿Cuál es la diferencia entre un usuario básico y un usuario con licencia?

Las limitaciones en videoconferencias grupales es la principal diferencia que existe.

Desde esos días la gente detrás de la plataforma se ha esforzado por mejorar sus candados y lo ha logrado relativamente. Pero alguien descubrió un fallo delicado que permite descifrar contraseñas de reuniones privadas.

Cómo hackeó todo

Un hacker de sombrero blanco bajo el nombre de Tom Anthony acaba de hacer público su caso con la gente de Zoom.

Ahí el sujeto relata cómo encontró un exploit que aprovechaba un detalle delicado en la seguridad de Zoom.

Ya que el sistema no tenía un límite en el número de intentos permitidos para ingresar contraseñas de reuniones privadas.

Así que sólo fue cuestión de desarrollar un script de Phyton y arrancar un ataque de fuerza bruta para dar con el password de seis dígitos en cerca de 30 minutos.

Incluso el hackeo podría hacerse más rápido si se utilizaban múltiples computadoras a la vez corriendo el script con distintas combinaciones, para lograr, literalmente más de un millón de intentos por minuto.

Zoom y Google Meet tienen una fuerte e interesante competencia: es Mmhmm

Su nombre es Mmhmm (sí, así tal cual), y es una plataforma que se precia de ser más interactiva que Zoom y Google Meet, entre otras.

Anthony, según relata, compartió el problema con la gente de Zoom de inmediato y ese habría sido el motivo por el que se inhabilitó tanto tiempo el cliente de navegadores web desde abril.

El fallo se arregló y la seguridad de Zoom mejoró, pero en paralelo el chico dio seguimiento al programa de recompensas por encontrar fallos en la plataforma.

Este era un error grave dentro del servicio, pero, según marca en su crónica de los hechos desde abril y hasta julio solicitó que lo consideraran para recompensarlo y no sucedió.

Por ello habría hecho público todo.