Problemas de segurança de Zoom não eram segredo, agora estão sendo resolvidos - Caarapó Online

Caarapó - MS, sexta-feira, 29 de maio de 2020


Problemas de segurança de Zoom não eram segredo, agora estão sendo resolvidos

O Dropbox pagou privativamente os principais hackers para encontrar bugs no software da empresa de videoconferência Zoom e pressionou-o para corrigi-los.

Publicado em: 15/05/2020 às 16h45

New York Times

Há um ano, dois hackers australianos se encontraram em um voo de oito horas para Cingapura para participar de uma competição de hackers ao vivo patrocinada pelo Dropbox. A 30.000 pés, com nada além de uma conexão lenta à Internet, eles decidiram começar invadindo o Zoom, um serviço de videoconferência que eles sabiam que era usado por muitos funcionários do Dropbox.

Os hackers logo descobriram uma grande vulnerabilidade de segurança no software de Zoom que poderia ter permitido que os invasores controlassem secretamente os computadores Mac de certos usuários. Era precisamente o tipo de bug que os engenheiros de segurança do Dropbox tinham medo do Zoom, segundo três ex-engenheiros do Dropbox.

Agora, o serviço de videoconferência da Zoom se tornou a plataforma de comunicação preferida para centenas de milhões de pessoas que se abrigam em casa, e os relatórios de seus problemas de privacidade e segurança proliferaram.

Os defensores de Zoom, incluindo grandes capitalistas de risco do Vale do Silício, dizem que o ataque de críticas é injusta. Eles argumentam que o Zoom, originalmente projetado para empresas, não poderia prever uma pandemia que enviaria legiões de consumidores para seu serviço no espaço de algumas semanas e o usaria para propósitos - como aulas no ensino fundamental e celebrações familiares - para as quais nunca foi intencional.

Há um ano, dois hackers australianos se encontraram em um voo de oito horas para Cingapura para participar de uma competição de hackers ao vivo patrocinada pelo Dropbox. A 30.000 pés, com nada além de uma conexão lenta à Internet, eles decidiram começar invadindo o Zoom, um serviço de videoconferência que eles sabiam que era usado por muitos funcionários do Dropbox.

Os hackers logo descobriram uma grande vulnerabilidade de segurança no software de Zoom que poderia ter permitido que os invasores controlassem secretamente os computadores Mac de certos usuários. Era precisamente o tipo de bug que os engenheiros de segurança do Dropbox tinham medo do Zoom, segundo três ex-engenheiros do Dropbox.

Agora, o serviço de videoconferência da Zoom se tornou a plataforma de comunicação preferida para centenas de milhões de pessoas que se abrigam em casa, e os relatórios de seus problemas de privacidade e segurança proliferaram.

Os defensores de Zoom, incluindo grandes capitalistas de risco do Vale do Silício, dizem que o ataque de críticas é injusto. Eles argumentam que o Zoom, originalmente projetado para empresas, não poderia prever uma pandemia que enviaria legiões de consumidores para seu serviço no espaço de algumas semanas e o usaria para propósitos - como aulas no ensino fundamental e celebrações familiares - para as quais nunca foi intencional.

"Não acho que muitas dessas coisas sejam previsíveis", disse Alex Stamos, ex-diretor de segurança do Facebook, que recentemente se contratou como consultor de segurança da Zoom. "É como se todos decidissem dirigir seus carros na água". Os ex-engenheiros do Dropbox, no entanto, dizem que os problemas atuais de Zoom podem ser rastreados por dois anos ou mais e argumentam que a falha da empresa em revisar suas práticas de segurança na época colocou seus clientes em risco.

Como parte de um novo programa de avaliação de segurança para seus fornecedores e parceiros, o Dropbox em 2018 começou a oferecer recompensas privadas aos principais hackers para encontrar falhas no código de software da Zoom e em algumas outras empresas. Os ex-engenheiros do Dropbox disseram estar impressionados com o volume e a gravidade das falhas de segurança que os hackers descobriram no código de Zoom - e incomodados com a lentidão de Zoom em corrigi-los.

Depois que o Dropbox apresentou as conclusões dos hackers do evento de Cingapura à Zoom Video Communications, a empresa californiana por trás do serviço de videoconferência, levou mais de três meses para o Zoom corrigir o erro, disseram os ex-engenheiros. O Zoom corrigiu a vulnerabilidade somente depois que outro hacker divulgou uma falha de segurança diferente com a mesma causa raiz.

A popularidade repentina de Zoom - quase 600.000 pessoas baixaram o aplicativo em um único dia no mês passado - o abriu para um maior escrutínio de pesquisadores e jornalistas e forçou a empresa a lidar com uma onda de incidentes de segurança. Três semanas atrás, o F.B.I. avisou que havia recebido vários relatos de trolls seqüestrando aulas de escolas públicas no Zoom para exibir pornografia e fazer ameaças - ataques maliciosos conhecidos como "Zoombombing".

Na semana passada, o blog da Motherboard da Vice relatou que os corretores de bugs de segurança estavam vendendo acesso - por US $ 500.000 - a falhas críticas de segurança do Zoom que poderiam permitir acesso remoto aos computadores dos usuários. Separadamente, os hackers colocam à venda mais de meio milhão de senhas e nomes de usuários dos usuários do Zoom na chamada web escura.

Em 1º de abril, Eric S. Yuan, executivo-chefe da Zoom, disse que a empresa dedicaria todos os seus recursos de engenharia pelos próximos 90 dias para reforçar a segurança e a privacidade. Na semana passada, a empresa anunciou um programa de recompensa renovado para hackers que encontram falhas de segurança em seu código. Stamos disse que o Zoom também está trabalhando nas alterações de design para reduzir os riscos potenciais de falhas e abusos de segurança como o Zoombombing.

Até os críticos reconhecem que o Zoom continua sendo o serviço de videoconferência mais fácil de usar do mercado e se tornou uma ferramenta crucial de comunicação durante a pandemia. Os pesquisadores de segurança também elogiaram o Zoom por melhorar seus tempos de resposta - corrigindo rapidamente erros recentes e removendo recursos que apresentavam riscos à privacidade dos consumidores.

A Zoom dificilmente é a primeira empresa de tecnologia cujo aumento repentino de popularidade expôs seus problemas. Microsoft, Twitter, Google, Facebook e Uber liquidaram todas as cobranças federais relacionadas à segurança ou privacidade do consumidor.

O que há de diferente no Zoom é o papel incomum que outra empresa de tecnologia - o Dropbox - desempenhou ao impulsionar o serviço de videoconferência para solucionar seus problemas de segurança.

Muitas empresas, incluindo a Zoom, têm "programas de recompensas por bugs" nos quais pagam a hackers para desvendar falhas no código de software da empresa. Mas o Dropbox, que integrou seus serviços de compartilhamento de arquivos ao Zoom, fez algo novo.