Zoom en la mira por miles de videollamadas privadas expuestas

Tech
/ 6 abril 2020

Se trata de reuniones virtuales que incluyen información confidencial de usuarios como nombres y números de teléfonos, así como información financiera de compañías. Eso se suma a una serie de fallas de seguridad que fueron halladas en los últimos días

Miles de videollamadas de Zoom, que incluían información personal y conversaciones privadas, quedaron expuestas en la web. Dentro de los contenidos se podía encontrar desde clips tomados en el marco de una consulta médica, donde se podían ver nombres y teléfonos de pacientes; reuniones de negocios, que incluían información financiera de compañías, o clases escolares, que dejaban al descubierto los rostros de los menores grabados durante la sesiones virtuales, según reportó The Washington Post.

Gran parte de los videos fueron grabados utilizando el software de Zoom y luego fueron almacenados online, en otros servicios, sin contraseña. No se trata de videos almacenados en los servidores de Zoom.

Debido a que la plataforma nombra cada grabación de video de manera idéntica, una simple búsqueda online puede revelar una larga secuencia de clips que se pueden descargar y ver con facilidad.

Los videos de Zoom no se graban de manera predeterminada, pero los anfitriones de las llamadas pueden optar por grabarlos y guardarlos en los servidores de Zoom o en sus propias computadoras.

Para grabar el contenido no hace falta tener consentimiento de los participantes, aunque estos reciben una notificación cuando el anfitrión comienza a grabar la sesión.

Zoom dijo en un comunicado publicado por The Washington Post que “proporciona una manera segura para que los hosts almacenen grabaciones” y ofrece guías detalladas sobre cómo mejorar la seguridad de sus reuniones virtuales.

Y añadieron: "En caso de que los anfitriones luego elijan guardar sus grabaciones en cualquier otro lugar, los instamos a que sean extremadamente cautelosos y transparentes con los participantes de la reunión, y que tengan en cuenta si la reunión contiene información confidencial”.

Patrick Jackson, jefe de tecnología de la compañía de software Disconnect y ex investigador de la Agencia de Seguridad Nacional encontró los videos utilizando un motor de búsqueda online y gratuito que escanea espacios de almacenamiento en la nube abierta. En este proceso encontró más de 15 mil clips.

Muchos de los videos se encontraron en fragmentos desprotegidos de espacio de almacenamiento de Amazon, así como publicados en sitios como Vimeo o YouTube.

El gran problema fue que los desarrolladores de Zoom omitieron algunas características básicas de seguridad que sí ofrecen otras plataformas de videochat, como exigir a los usuarios que usen un nombre de archivo único antes de guardar sus propios clips.

Cabe recordar que esta falta de precaución en el diseño de la app se suma a muchas otra vulnerabilidades que se hallaron en el servicio, como que, en Windows, las credenciales de acceso podrían ser fácilmente hackeadas o que en MacOS, se halló una vulnerabilidad de día cero en la cual se especifica que Zoom utiliza una técnica “sombría” para instalar la aplicación de Mac sin interacción del usuario.

COMENTARIOS

Selección de los editores