Юлия Сунцова
За прошедший месяц исследователи выявили у Zoom несколько серьезных проблем, связанных как с уязвимостями, так и с утечкой данных. Сама американская компания заявила, что в ближайшие недели сосредоточит все усилия на безопасности и конфиденциальности своих пользователей.
Специалисты по информационной безопасности считают, что атаки на популярнейшее приложение родом из неофициальной столицы Силиконовой долины будут продолжаться. Главным критерием охоты кибермошенников остается численность пользователей у платформ, а популярности Zoom в период глобальной самоизоляции не занимать.
К началу апреля количество ежедневных клиентов Zoom возросло в 30 раз по сравнению с декабрем 2019 г. и пробило отметку в 300 миллионов человек.
Необходимость соблюдать карантин из-за пандемии COVID-19 привела к тому, что на групповые видео и аудиозвонки переходят сотни тысяч компаний, учебных заведений и даже госпредприятия.
В России чиновники, к слову, уже высказались на тему того, что надо бы запретить использование главного онлайн-ресурса карантина и даже успели завести на пользователей приложения уголовные дела. По-видимому, стало не по себе, что Zoom активно используют школьники и преподаватели, тогда как отечественные разработки для дистанционного обучения, такие как «Российская электронная школа» и «Российский учебник», наплыва пользователей не выдержали и дали сбои в первые же дни. Саратовский комитет по образованию рекомендовал учителям отказаться от использования платформы после того, как на одном из онлайн-уроков в школе №95 в процесс вклинился неизвестный и начал транслировать порнофильм. В Петербурге следователи возбудили уголовное дело на автора Youtube-канала Артура Амаева из-за роликов, в которых он подключался к он-лайн классам и разыгрывал школьников. Министр просвещения России Сергей Кравцов заявил, что к началу следующего учебного года в России создадут отечественный Zoom.
Американский сервис Zoom обвинили в утечке данных и отсутствии сквозного шифрования уже в нескольких странах. Согласно лицензионному соглашению, компания не дает юридических гарантий пользователям бесплатных версий.
Ранее специалисты «Group-IB» Ильи Сачкова - международной компании, специализирующейся на предотвращении кибератак, заявляли о появившихся на черном рынке объявлений о продаже 4000 аккаунтов сервиса видеоконференций Zoom. В начале апреля в открытом доступе оказалось несколько тысяч записей видеоконференций из Zoom – как частные переговоры, так и рабочие совещания из разных компаний. Злоумышленники, помимо прочего, ставят перед собой цели - осмыслить инфраструктуры предприятий посредством анализа корпоративных переговоров, и получить доступ к интересующим коммерческим тайнам.
После утечек от использования Zoom отказался ряд крупнейших компаний и госучреждений, в том числе, SpaceX Илона Маска, МИД Германии, госаппарат Тайваня и сенат США.
Как рассказал «Новым Известиям» руководитель группы исследования киберпреступности Group-IB Дмитрий Шестаков, в паблик было выложено 4153 уникальных записей, среди которых 31 аккаунт принадлежит пользователям с почтовым адресом в домене ru:
- Опасность таких утечек еще и в том, что большое количество пользователей используют одни и те же пароли для разных сервисов. Получив логин и пароль от одного сервиса, злоумышленники могут попытаться использовать его для получения доступа к аккаунтам клиентов на других популярных площадках.
Чтобы этого избежать, стоит, как минимум, использовать сложные и неповторяющиеся пароли для разных сервисов и включить двухфакторную аутентификацию везде, где это возможно. Сейчас, когда весь мир перешел на удаленную работу, соблюдение базовых правил цифровой гигиены стало критически важным. Под угрозой - не только персональные данные пользователей, но и чувствительная корпоративная информация, доступ к которой злоумышленники могут получить через домашнюю сеть или компьютер сотрудника на «удаленке», комментируют в компании «Group-IB».
Основатель «Group-IB» Илья Сачков помимо прочего рекомендует присмотреться к аналогам Google Meet, GoToMeeting или сервису WebEx от Cisco.
«Если вам не нужна вся функциональность конференц-видеософта и достаточно голоса, то используйте Signal. Для тех, кто прикипел к Zoom, или у него нет технической возможности перейти на другие сервисы, используйте браузерное окно для видеоконференции, а не клиент (приложение) Zoom, потому как именно в клиентах содержатся опасные уязвимости.
При использовании Zoom необходимо сделать еще несколько важных вещей: задавайте пароль для звонка (по умолчанию не задается); оставьте опцию «трансляции экрана только для ведущего»; отключите опции «разрешить отключенным подключаться снова» и «подключение до ведущего»; отключите передачу файлов», - комментирует он.
Генеральный директор Zoom Эрик Юань, комментируя утечки, признавался, что компания оказалась не готова к многократному увеличению пользователей. Разработчики к 23 апреля выпустили обновления программы, которое, по их заверениям, обеспечивают безопасность всем участникам видеоконференций.
В середине апреля стало известно о второй крупной атаке на Zoom. ViceMediagroup сообщила об обнаружении в Даркнете двух эксплоитов для уязвимостей нулевого дня в Zoom, которые позволяют взломать пользователей и следить за их звонками. Один эксплоит - для Windows, второй - для macOS. Наличие действующего предложения на черном рынке подтвердили журналистам три собственных источника, которые вступали в переговоры с брокерами уязвимостей для организации продажи «товара».
«Эксплоит для Windows – это чистая RCE-уязвимость, то есть проблема, допускающая удаленное выполнение произвольного кода, которая идеально подходит для промышленного шпионажа. При этом эксплоит для macOS не является RCE», - сообщили источники изданию. Собеседники также подтвердили и выставленную хакерами цену за раскрытие информации о «дырах»: 500 тысяч долларов, правда, заявили: адекватная рынку цена должна быть снижена, как минимум, вдвое.
Спрос на 0-day (неустраненные) уязвимости Zoom будет только расти у киберпреступников, так как приложением пользуются миллионы людей по всему миру, в том числе высокопоставленные чиновники и руководители крупнейших компаний для проведения закрытых совещаний, считают эксперты.
- Предложения о продаже уязвимостей в Zoom в Даркнете действительно существуют, и количество таких объявлений, связанных с платформой, будет только расти. Их уже много – настолько, что становится сложно отличить реальные предложения от фейковых. Хакеры продают злоумышленникам информацию, не несущую ценности, и так как в целом такие сделки и сам товар (инструмент для пользования уязвимостями) противозаконны, то одни мошенники обманывают других мошенников на сотни тысяч долларов буквально в режиме реального времени, - рассказал «Новым Известиям» бывший спикер Управления «К» МВД РФ, руководитель отдела выявления цифровых угроз компании "Инфосекьюрити" Александр Вураско.
- Встретить подобного рода объявления можно в Даркнете, различных теневых площадках вроде Tor, на специализированных форумах, мошеннических сайтах по социальной инженерии и т.п., говорит Вураско.
Вдобавок за два месяца зарегистрировано тысячи доменных имен, фейковых клонов, паразитирующих на бренде Zoom и никак с ним не связанных. Некоторые созданные сайты используются для фишинга, другие - для кражи логинов.
- Но надо успокоить пользователей. Срок жизни уязвимостей нулевого дня – недолгий: они обнаруживаются сразу, как только начинают эксплуатироваться. Именно поэтому от этих предложений и отказываются спецслужбы, которые предпочитают вести тайное наблюдение. Попадание информации об атаках в СМИ сразу же снижает ценность таких уязвимостей до нуля, потому как обычно моментально бывают исправлены разработчиками платформы, на которую вели охоты киберпреступники, - отмечает эксперт.
Реальные покупатели никогда не выкладывают сотни тысяч долларов за кота в мешке, поэтому всегда перед оплатой товар тестируется, продавец таким образом предоставляет гарантию на рабочий инструмент. И если в качестве подставных покупателей в переговорах с продавцами участвуют эксперты в области информационной безопасности или правоохранительные органы, а такое бывает часто, то добытых деталей уже хватает для того, чтобы залатать дыру – можно даже не переходить на стадию совершения покупки.
«Новые Известия» направили в Zoom редакционный запрос с просьбой прокомментировать обнаруженные утечки данных и уязвимости. На момент выхода публикации ответ от компании не поступил.