Vazamento de dados do Zoom compromete mais de 500 mil usuários

Por Felipe Demartini | 14 de Abril de 2020 às 13h00

As credenciais de cerca de 530 mil contas do Zoom estão sendo vendidas ou simplesmente distribuídas gratuitamente na internet, em mais um episódio de um pesadelo de segurança que vem atingindo o app de teleconferências ao longo das últimas semanas. As contas estão sendo vendidas em fóruns de hackers em grandes pacotes, com várias “amostras” sendo entregues de graça.

Centenas de contas, por exemplo, pertencem a estudantes de pelo menos cinco universidades americanas, com seus e-mails acadêmicos e senhas de acesso ao Zoom disponíveis em um dos pacotes ofertados pelos hackers, enquanto outros trazem também URLs pessoais para reuniões e até chaves pessoais de acesso. Os conjuntos são vendidos por valores baixos, de poucos dólares, com contas individuais custando cerca de R$ 0,01 cada uma, enquanto credenciais individuais e sem aparente relação com outras são entregues de graça pelos criminosos.

Companhias como Citibank e Chase, bem como outras instituições educacionais e até mesmo da própria Cyble, empresa de segurança digital responsável pela divulgação da venda, também aparecem entre os volumes comprometidos. Foi assim, inclusive, que ela foi capaz de verificar a autenticidade do volume, uma vez que as credenciais comprometidas correspondiam a contas reais de seus funcionários.

A ideia é que as combinações de e-mails e senhas tenham sido obtidas por meio de uma técnica chamada stuffing, na qual listas anteriormente vazadas de credenciais, a partir de outros serviços, são experimentadas nos sistemas do Zoom de forma automática. Em caso de login confirmado, as credenciais funcionais são separadas em uma lista, a mesma que, agora, é comercializada pelos bandidos na deep web.

De acordo com os especialistas da Cyble, o principal intuito aqui é o uso dos perfis para disseminação de spam ou, simplesmente, trollagem. Usuários do Zoom vem sentindo um crescimento nas “invasões” de conversas, salas de aula e conferências online para exibição de imagens obscenas e conteúdo impróprio apenas como uma forma de zoeira.

Volumes vazados contém e-mails, senhas, links pessoais e até chaves de abertura de grupos no Zoom. Credenciais são vendidas ou entregues de graça por hackers, de acordo com nível de importância (Imagem: Reprodução/Bleeping Computer)

Em outros casos, links suspeitos podem ser disseminados nestas mesmas conversas, incluindo grupos fechados ligados a empresas e universidades que façam parte dos conjuntos vendidos, como forma de obter mais e mais credenciais. É justamente por isso que conjuntos ligados a instituições, mais valiosos, são vendidos, enquanto contas “simples” e aparentemente sem esse tipo de serventia são entregues de graça.

O site Have I Been Pwned recebeu a lista de credenciais vazadas e as incluiu em seu serviço de checagem para usuários cadastrados, que estão sendo notificados por e-mails. Aos outros, vale a pena inserir o e-mail no serviço para saber se sua conta foi comprometida neste ou em outros vazamentos de plataformas online.

O vazamento expõe a necessidade de ter senhas diferentes para cada serviço utilizado, principalmente em contas que envolvam dados pessoais ou o acesso a informações privadas. Aos usuários do Zoom, tenham eles sido afetados ou não, o ideal é modificar credenciais de acesso ao serviço e também aquelas utilizadas em outras plataformas, principalmente se elas forem iguais, já que o comprometimento de uma pode significar o vazamento de todas.

Atualização 14/04/2020 16h04: Em resposta ao Canaltech, o Zoom confirmou que o vazamento de logins e senhas se deu a partir de uma lista vazada de outros serviços, cujas informações correspondiam também às usadas por seus próprios usuários. A companhia endossou a recomendação para que os utilizadores troquem suas senhas de acesso e informou que seus clientes corporativos não foram afetados pelo comprometimento, uma vez que eles usam seus próprios sistemas de login na plataforma.

Além disso, o Zoom afirmou estar trabalhando para localizar e tirar do ar listagens como a que vem sendo vendida pelos hackers, bem como sites maliciosos que se passam pela empresa para induzir usuários a preencherem cadastros ou baixarem malwares. Ainda, a companhia afirmou que contas comprometidas vêm sendo bloqueadas e que seus usuários são alertados sobre isso, enquanto permanece investigando e estudando a adoção de novas medidas de segurança para lidar com o problema.

Confira a íntegra do comunicado:

“É comum que os serviços de internet que atendem consumidores sejam alvo deste tipo de atividade, que normalmente envolvem atores maliciosos testando um grande número de credenciais já comprometidas de outras plataformas para verificar se os usuários as reutilizaram em outros lugares. Este tipo de ataque geralmente não afeta nossos clientes corporativos que utilizam seus próprios sistemas de sign-on. Já contratamos várias empresas de inteligência para encontrar esses dumps de senhas e as ferramentas usadas para cria-las, bem como uma empresa que desligou milhares de websites tentando enganar usuários para fazer download de malware ou abrir mão de suas credenciais.

Continuamos investigando, bloqueando contas que descobrimos que estão comprometidas, pedindo aos usuários que alterem suas senhas para algo mais seguro, e estamos considerando implementar soluções de tecnologia adicionais para apoiar nossos esforços”.

Fonte: Bleeping Computer

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.