image

Zoom-lek gaf toegang tot lijst met alle gebruikers van een organisatie

dinsdag 21 april 2020, 17:37 door Redactie, 4 reacties

Een beveiligingslek in videoconferentiesoftware Zoom maakte het mogelijk om toegang te krijgen tot de gegevens van alle Zoom-gebruikers binnen willekeurige organisaties. Het kon dan gaan om voor- en achternaam, e-mailadressen, telefoonnummer en andere informatie in de vCard van de betreffende Zoom-gebruikers.

Zoom biedt verschillende features, waaronder een chatoptie. Gebruikers kunnen via Zoom naar andere gebruikers binnen hun organisatie zoeken. Hiervoor verstuurt Zoom een verzoek naar de server waarin de groepsnaam van de organisatie staat opgegeven. Deze groepsnaam is het e-maildomein dat de organisatie voor de registratie heeft gebruikt.

Zoom controleerde niet dat de gebruiker die een verzoek verstuurde ook daadwerkelijk bij het opgevraagde domein behoorde. Zo konden willekeurige gebruikers contactlijsten van willekeurige domeinen opvragen. De enige vereiste was dat een aanvaller over een geldig Zoom-account beschikte, dat gratis via de website van Zoom is aan te maken.

Vervolgens was het mogelijk om verzoeken voor willekeurige domeinen naar de Zoom-server te sturen, die daarop met de contactgegevens van gebruikers van de betreffende organisatie antwoordde. Volgens Cisco, dat de kwetsbaarheid ontdekte, zouden aanvallers hiermee allerlei gegevens kunnen verzamelen die voor spearphishingaanvallen zijn te gebruiken. Zoom heeft de kwetsbaarheid inmiddels verholpen.

Image

Reacties (4)
21-04-2020, 19:26 door Anoniem
En dan hebben we het er nog maar niet eens over dat mensen met een mail adres bij hetzelfde domein helemaal niet
noodzakelijkerwijs tot dezelfde organisatie behoren! Dat is een grote misvatting van zoom.
22-04-2020, 12:14 door Legionnaire
Het is en blijft software en water dicht krijg je het nooit.

Zeker niet als je van die 2e rang Developers een redelijk complexe app laat maken.

Want anders zouden ze wel bij bv Microsoft werken, gezien daar alleen maar de beste Developers ter wereld, waarvan de meesten daar multimiljonair zijn geworden, dik 2500 en dan nog wordt er bij bv W10 regelmatig lekken ontdekt.
22-04-2020, 12:27 door Anoniem
Nou lees ik al wekenlang narigheid over deze App, gebruik het dan niet meer of denk ik nu te simpel.
22-04-2020, 15:34 door Legionnaire
Door Anoniem: Nou lees ik al wekenlang narigheid over deze App, gebruik het dan niet meer of denk ik nu te simpel.

Wat ik ook niet begrijp...dat je op TV en vooral in de landen om ons heen en zeker USA, ze allemaal Skype gebruiken.

En om me heen is het allemaal via WhatsApp of Facetime….heel uniek
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.