Lỗ hổng trên Zoom cho phép tin tặc đánh cắp mật khẩu phòng họp

Trước đó không lâu, nhà nghiên cứu Tom Anthony (SearchPilot) đã phát hiện lỗ hổng trên ứng dụng Zoom, cho phép tin tặc đánh cắp mật khẩu phòng họp chỉ trong vài phút.

Mặc định, các cuộc họp video trên Zoom được bảo vệ bằng mật khẩu gồm sáu chữ số, tuy nhiên, việc thiếu giới hạn tốc độ đã vô tình tạo lỗ hổng cho phép tin tặc thử tất cả một triệu mật khẩu trong vài phút.

Điều này đồng nghĩa với việc kẻ gian hoàn toàn có thể truy cập vào các cuộc họp riêng tư (được bảo vệ bằng mật khẩu) của người khác. 

Lỗ hổng trên Zoom cho phép tin tặc đánh cắp mật khẩu phòng họp - 1

Zoom đã yêu cầu người dùng đặt mật khẩu cho tất cả cuộc họp từ tháng 4 như một biện pháp để chống lại các cuộc tấn công, trong đó đề cập đến hành động phá rối và chiếm quyền điều khiển. 

Anthony đã báo cáo vấn đề cho Zoom vào ngày 1-4-2020, một tuần sau công ty đã vá lỗ hổng. Bên cạnh đó, anh còn phát hiện ra rằng quy trình tương tự có thể được lặp lại ngay cả với các cuộc họp theo lịch.

Zoom là nền tảng hội họp trực tuyến, thu hút rất nhiều người dùng kể từ khi đại dịch COVID-19 bắt đầu. Mới đầu tháng này, công ty đã giải quyết lỗ hổng zero-day trong phiên bản dành cho Windows, cho phép kẻ tấn công thực thi mã tùy ý trên máy tính của nạn nhân chạy Windows 7 trở lên.

Ngoài ra, Zoom cũng sửa một lỗ hổng riêng biệt có thể cho phép kẻ tấn công bắt chước một tổ chức và lừa nhân viên hoặc đối tác kinh doanh tiết lộ thông tin cá nhân, hoặc thông tin bí mật khác thông qua các cuộc tấn công kỹ thuật xã hội.