Videoneuvottelujen suosio kasvaa koko ajan yrityksissä ja kaikenlaisissa organisaatioissa. Mutta entäpä jos ulkopuolinen pääsisi kuuntelemaan neuvotteluja? Tietoturvayhtiö Check Point löysi tällaisen mahdollistavia reikiä suositusta Zoom-ohjelmistosta.
Zoom-konferensseihin kirjaudutaan hyvin samalla tapaa kuin vastaaviin muihin ohjelmistoihin. Neuvotteluilla on 9-, 10- tai 11-numeroinen tunnus, joka syötetään mukaan liityttäessä.
Zoomin ongelma oli se, että mikäli kutsuja ei edellyttänyt salasanaa kirjautuessa tai ottanut. ns. odotushuonetta käyttöön, josta osallistujat päästetään yksittäin neuvotteluun, neuvottelun ID-tunnus oli ainoa, mitä mukaan liittymiseen tarvitaan.
Testissään Check Pointin tutkijat onnistuivat arvaamaan neuvottelujen ID-tunnuksia satunnaisilla numerosarjoilla 4 prosentin todennäköisyydellä. Vaikka tällainen todennäköisyys ei tavallista käyttäjää kiinnostaisi, rikollisiin tarkoituksiin todennäköisyys on merkittävästi suurempi kuin esimerkiksi tunnusten brute force -murtoyritykset.
Löydösten perusteella Check Point kehotti Zoomia parantamaan neuvottelutunnusten generointialgoritmia, korvaamaan satunnaistoiminnon salatulla toiminnolla, kasvattamaan neuvottelujen ID-tunnusten numeroiden lukumäärää ja pakottamaan neuvottelujen järjestäjät käyttämään salasanoja tai PIN-koodeja kirjautumisessa.
Zoom vastasi puutteisiin nopeasti, eivätkä haavoittuvuudet enää vaivaa sen videoneuvotteluja.