Geknackte Meeting-Passwörter, um die Online-Höhe zu erhöhen
1 min readWenn jemand die ID eines Meetings mit einer Vergrößerung kennt, kann er im Prinzip einfach das zugehörige Passwort überspringen und ohne Erlaubnis an dem Meeting teilnehmen. Dies wurde von Tom Anthony offenbart, der sich selbst als Amateur-Sicherheitsforscher bezeichnet. Zoom reagiert schnell auf seinen Rat und blockiert den verantwortlichen Webclient am selben Tag. Nach einer Woche war der Fehler anscheinend behoben.
Das Problem: Mit Zoom wurden bis vor kurzem Kennwörter für Termine festgelegt, die nur aus 6 Ziffern bestanden. Die resultierenden 1 Million Fähigkeiten können in Minuten getestet werden, sagte Anthony. Dies ist auf das Fehlen von Einschränkungen bei HTTP-Zugriffsversuchen über den Webclient zurückzuführen. Anthony war in der Lage, das Testen von Zugangscodes zu automatisieren und über Cloud-Server schnell den richtigen zu finden.
Zoomkappe Laut Anthony reagierte sehr schnell auf seinen Rat und setzte offenbar nicht nur ein Tempolimit, das die Anzahl der nicht autorisierten Zugriffe begrenzt. Sie haben aber auch das Passwortschema geändert. Besprechungskennwörter für die Standardskalierung bestehen jetzt aus einer Kombination von Buchstaben und Zahlen, wodurch sich die Anzahl der Optionen erhöht. Es gibt noch ein rein digitales Passwort zum Wählen am Telefon. Ein Internetzugang ist jedoch nicht möglich, da ein kurzer Test von Heise Security bestätigt wurde.
(Nach dem)
“Zertifizierter Schriftsteller. Totaler Problemlöser. Alkoholiker. Entdecker. Wütend bescheidener Student. Wannabe-Unternehmer. Twitter-Liebhaber.”