Naprodaj pol milijona Zoomovih uporabniških računov

Komunikacijski storitvi Zoom je v zadnjih mesecih uspel neverjeten skok v popularnosti. Po drugi strani pa se zdi, da so njeni upravljavci zlate čase svojega izdelka pričakali povsem nepripravljeni. V zadnjih tednih smo večkrat poročali o varnostnih luknjah, zdaj pa se je izkazalo, da je na hekerskih forumih in na temnem spletu naprodaj prek 530.000 uporabniških računov. Pri čemer naprodaj ni čisto ustrezna beseda, saj jih lahko ponekod za dolarski cent dobimo kar pet, v nekaterih primerih pa se celo delijo brezplačno.

A tokrat krivda ni docela na strani Zooma, ukradeni podatki namreč skoraj zagotovo izvirajo iz t. i. credential stuffinga, torej postopka, v katerem nepridipravi ukradena uporabniška imena in gesla določene storitve, preizkusijo še pri vstopu v katero drugo storitev. In pri tem pogosto uspejo, saj ljudje kljub opozorilom še vedno radi recikliramo gesla. Ukradeni računi večinoma vsebujejo uporabniško ime, geslo, zgodovino in povezave pogovorov ter tudi Zoom HostKeys, šestmestno PIN številko, s katero dokazujemo lastništvo določenega sestanka.

Med oškodovanci so tudi ugledne inštitucije, kot so univerze v Vermontu, Koloradu, Dartmouthu in na Floridi, pa tudi banke kot sta JP Morgan Chase in Citibank. Novinarji so nekaj ukradenih poštnih naslovov preverili in od uporabnikov dobili potrdilo, da so podatki za vpis resnični.

Predstavniki Zooma so zagotovili, da so že najeli varnostna podjetja, ki jim bodo pomagala odkriti ponujene kopije podatkov za vpis, da bi lahko ponastavili prizadete uporabniške račune, obenem pa razmišljajo tudi o implementaciji primernih dodatnih tehnologij, ki bi končale neprijetno varnostno sago podjetja.