Эксперты по кибербезопасности обнаружили на хакерских форумах и в даркнете данные 500 тысяч учетных записей видеосервиса Zoom. Об этом сообщает Bleeping Computer.
Специалисты компании Cybersecurity Cyble заметили торговлю аккаунтами Zoom еще 1 апреля 2020 года. Они приобрели 530 тысяч профилей пользователей Zoom по цене в $0,002 за штуку, чтобы обезопасить своих клиентов. Некоторые личные данные из этих аккаунтов были слиты в общий доступ в рамках предыдущих хакерских взломов, а некоторые оказались подлинными и относятся к весне 2020 года. Некоторые из аккаунтов принадлежат сотрудникам крупных брендов, например Chase и Citybank.
Среди персональной информации, которая продается меньше, чем за цент, можно найти электронные адреса пользователей, их пароли, URL личного чата, а также шестизначный пин-код администратора, который позволяет управлять видеоконференцией в Zoom.
Некоторые злоумышленники раздают взломанные аккаунты бесплатно. В такой список попали 290 учетных записей, принадлежащих Университету Вермонта, Университету Колорадо, Дартмутскому колледжу, Университету Флориды и другим. Таким образом хакеры повышают свою репутацию или предоставляют данные для пранков или других действий злоумышленников.
Утечка данных - результат атак типа credential stuffing, когда похищенные имена пользователей и пароли используются, чтобы авторизоваться на каких-либо сайтах и сервисах.
Ранее об обнаруженных в даркнете аккаунтах Zoom сообщила компания Group-IB. Эксперты отметили, что большое количество пользователей используют один и тот же пароль для разных сервисов. Получив логин и пароль от одного сервиса, злоумышленники могут попытаться использовать его для получения доступа к аккаунтам жертвы на других площадках.
Из-за информации об уязвимостях в Zoom крупные компании и органы власти, включая Google, SpaceX, Tesla, Министерство образования Нью-Йорка и правительство Тайваня, стали запрещать своим сотрудникам использовать Zoom.
Гендиректор компании Эрик Юань признал недостатки приложения и извинился за то, что безопасность приложения не оправдала ожиданий. В компании объяснили, что ориентировались на корпоративных клиентов, у которых есть собственные специалисты по безопасности.