Muchas organizaciones, incluidas bastantes empresas de Fortune 500, han expuesto enlaces web que permiten a cualquiera iniciar una videoconferencia de Zoom como empleado válido.
Estos enlaces de Zoom específicos de la empresa, que incluyen un número de identificación de usuario permanente y un código de acceso integrado, pueden funcionar indefinidamente y exponer a los empleados, clientes o socios de una organización a phishing y otros ataques de ingeniería social.
Lo que está en juego es el ID de reunión personal de Zoom (PMI), que es un número de identificación permanente vinculado a su cuenta de Zoom y sirve como su sala de reuniones personal disponible las 24 horas. La parte del PMI forma parte de cada nueva URL de reunión creada por esa cuenta, como por ejemplo:
zoom.us/j/5551112222
Zoom tiene una opción para incluir un código de acceso cifrado dentro de un enlace de invitación a una reunión, lo que simplifica el proceso para los asistentes al eliminar la necesidad de ingresar el código de acceso manualmente. Siguiendo el ejemplo anterior, un enlace de este tipo podría verse así:
zoom.us/j/5551112222/pwd=jdjsklskldklsdksdklsdkll
Usar su PMI para programar nuevas reuniones es conveniente, pero, por supuesto, la conveniencia a menudo viene a expensas de la seguridad. Debido a que el PMI sigue siendo el mismo para todas las reuniones, cualquier persona con su enlace PMI puede unirse a cualquier reunión en curso a menos que haya bloqueado la reunión o haya activado la función Sala de espera de Zoom.
Incluir un código de acceso cifrado en el enlace de Zoom definitivamente hace que sea más fácil para los asistentes unirse, pero podría abrir sus reuniones a intrusos no deseados si no se maneja de manera responsable. Especialmente si ese enlace de Zoom está de alguna manera indexado por Google o algún otro motor de búsqueda, como ocurre con miles de organizaciones.
Armado con uno de estos enlaces, un atacante puede crear reuniones e invitar a otras personas utilizando la identidad del empleado autorizado. Y muchas empresas que utilizan Zoom han facilitado la búsqueda de enlaces de reuniones creados recientemente que incluyen códigos de acceso cifrados, porque tienen subdominios dedicados en Zoom.us.
Utilizando el mismo método, KrebsOnSecurity también encontró enlaces de reuniones de Zoom que funcionan para la Liga Nacional de Fútbol Americano (NFL), LinkedIn , Oracle , Humana , Disney , Warner Bros y Uber . Y eso fue tras sólo unos minutos de búsqueda. Y para ilustrar la persistencia de algunos de estos enlaces de Zoom, Archive.org dice que varios de los enlaces se crearon por primera vez en 2020 y 2021.
KrebsOnSecurity recibió un aviso sobre las exposiciones de Zoom de Charan Akiri , investigador e ingeniero de seguridad en Reddit. En abril de 2023, este sitio presentó una investigación de Akiri que mostraba que muchos sitios web públicos de Salesforce estaban filtrando datos privados , incluidos bancos y organizaciones de atención médica (Akiri dijo que Salesforce también tenía estos enlaces abiertos a reuniones de Zoom antes de notificarles).
Todos los enlaces de Zoom que exponían las salas de reuniones de trabajo habían habilitado la opción resaltada.
Akiri dijo que el uso indebido de los enlaces de PMI, particularmente aquellos con códigos de acceso incorporados, puede dar acceso a las reuniones a personas no autorizadas.
“Estos enlaces de un solo clic, que no están sujetos a caducidad ni al requisito de contraseña, pueden ser explotados por atacantes para suplantación de identidad”, dijo Akiri. “Los atacantes que explotan estas vulnerabilidades pueden hacerse pasar por empresas e iniciar reuniones sin que los usuarios lo sepan. Pueden ponerse en contacto con otros empleados o clientes haciéndose pasar por la empresa, obteniendo acceso no autorizado a información confidencial, potencialmente para obtener ganancias financieras, contratación o campañas publicitarias fraudulentas”.
Akiri dijo que creó un programa simple para rastrear la web en busca de enlaces de reuniones de Zoom que funcionen de diferentes organizaciones, y hasta ahora ha identificado miles de organizaciones con estos enlaces de Zoom zombis perfectamente funcionales.
Según Akiri, aquí hay varios consejos para utilizar los enlaces de Zoom de forma más segura:
No utilice el ID de reunión personal para reuniones públicas: su ID de reunión personal (PMI) es la reunión predeterminada que se inicia cuando inicia una reunión ad hoc. Su PMI no cambia a menos que usted mismo lo cambie, lo que lo hace muy útil si las personas necesitan una forma de comunicarse con usted. Pero para las reuniones públicas, siempre debe programar nuevas reuniones con ID de reunión generados aleatoriamente. De esa manera, sólo los asistentes invitados sabrán cómo unirse a su reunión. También puede desactivar su PMI al iniciar una reunión instantánea en la configuración de su perfil.
Solicitar un código de acceso para unirse: puede llevar la seguridad de las reuniones aún más allá al solicitar un código de acceso para unirse a sus reuniones. Esta función se puede aplicar tanto a su ID de reunión personal, de modo que solo aquellos con el código de acceso podrán comunicarse con usted, como a las reuniones recientemente programadas. Para conocer todas las formas de agregar un código de acceso para sus reuniones, consulte este artículo de soporte .
Permitir solo usuarios registrados o verificados de dominio: Zoom también puede brindarle tranquilidad al permitirle saber exactamente quién asistirá a su reunión. Al programar una reunión, puede solicitar a los asistentes que se registren con su correo electrónico, nombre y preguntas personalizadas. Incluso puedes personalizar tu página de registro con un banner y un logotipo. De forma predeterminada, Zoom también restringe los participantes a aquellos que han iniciado sesión en Zoom, e incluso puede restringirlo a los usuarios de Zoom cuya dirección de correo electrónico utilice un determinado dominio.
Lectura adicional: Cómo mantener a los invitados no invitados fuera de su reunión de Zoom
Actualización 12:33 pm: La lista de organizaciones afectadas se actualizó, porque varias empresas enumeraron aparentemente solo enlaces expuestos que permiten a cualquiera conectarse a salas de reuniones existentes y siempre activas, no iniciar ni controlar completamente una reunión de Zoom. El verdadero peligro de los enlaces zombis descritos anteriormente es que cualquiera puede encontrarlos y utilizarlos para crear nuevas reuniones e invitar a otros.
Te puede interesar leer también: Amazon está ofreciendo capacitación gratuita en Inteligencia Artificial
¿Tienes algún proyecto de ciberseguridad en el que busques consultoría? contáctanos: