Il problema riscontrato deriva dalla mancanza di limiti al numero di tentativi possibili per inserire la password corretta in fase d’accesso. Le chat sono protette per impostazione predefinita da una password di 6 cifre, il che significa che ci sono 1 milione di possibilità. Gli hacker potrebbero quindi forzare tutte le diverse combinazioni in modo relativamente rapido e semplice.
La vulnerabilità è stata scoperta da Tom Anthony, vice presidente di Product presso la società SEO SearchPilot, che l’ha segnalato per la prima volta a Zoom il 1 ° aprile. I dettagli dell’exploit sono stati resi pubblici in questi giorni. Anche se Zoom ha affermato che il problema è stato mitigato il 9 aprile. Ciò significa che eventuali chiamate dopo tale data non dovrebbero essere a rischio.
Anthony ha anche aggiunto: “Il 31 marzo, Boris Johnson ha twittato per presiedere il primo incontro di gabinetto digitale in assoluto. Sono stato tra i tanti che hanno notato che lo screenshot includeva l’ID di Zoom Meeting. Ho notato nello screenshot di Boris Johnson che un utente chiamato semplicemente “iPhone” disattivato con la fotocamera spenta era tra i partecipanti”.
È l’ultimo di una serie di episodi singolari con la piattaforma, che ha visto emergere una tendenza nota appunto come “Zoombombing“. Nei casi più gravi, i partecipanti sono stati sottoposti a riprese di abusi sessuali su minori. Un portavoce di Zoom ha dichiarato: “Dopo aver appreso di questo problema, abbiamo immediatamente rimosso il client Web Zoom per garantire la sicurezza dei nostri utenti mentre implementavamo le mitigazioni. Con le correzioni, il problema è stato completamente risolto. Non è stata richiesta alcuna azione da parte dell’utente. Non siamo a conoscenza di casi di questo exploit recenti”.