Zoom e i problemi per la privacy e la sicurezza fino ad ora emersi
Immagine via Pixabay |
Nelle ultime settimane, a causa della pandemia da COVID-19, ci si trova costretti ad usare sempre più spesso strumenti digitali per lavoro, didattica o semplicemente per poter restare in contatto con i nostri cari.
I primi problemi di privacy
I problemi odierni con Facebook
Zoom usa una crittografia TLS per le video chiamate di gruppo e non una end-to-end
Ma non finisce qui. Il 31 marzo 2020, a seguito di una inchiesta di The Intercept, è emerso che le chiamate di gruppo non sono criptate con un sistema di criptazione end-to-end ma tramite TLS 1.2, ovvero la stessa tecnologia usata per proteggere la navigazione sui siti web HTTPS.
Cosa significa? Be, significa che quando effettuiamo una meeting utilizzando Zoom, i contenuti audio video saranno protetti da chiunque cerchi di spiare la nostra connessione, ma non saranno privati all’azienda che, di fatto, ha la capacità tecnica di spiare riunioni video private oltre che poter esser costretto a consegnare eventuali registrazioni delle riunioni a governi o forze dell’ordine a seguito di richieste legali.
Ovviamente Zoom ha dichiarato che non accede direttamente o vende i dati degli utenti.
L’unica funzione di Zoom crittografata end-to-end è la chat di testo nella riunione.
Zoom e il bug che ti aggiunge altri contatti pensando di fare cosa gradita
E siccome i problemi sono sempre in agguato, sempre Motherboard, lo scorso 1 aprile 2020 (e non è un pesce d’aprile) ha scoperto che, per via di una impostazione di Zoom che serve ad aggiungere automaticamente altre persone agli elenchi di contatto di un utente se queste si sono registrate con un indirizzo e-mail che ha lo stesso dominio, migliaia di utenti si sono visti riuniti insieme nello stesso gruppo, come se lavorassero per la stessa azienda, condividendo informazioni personali come nomi, immagini e indirizzi di posta.
Video privati esposti (ma la colpa è degli utenti non attenti alla privacy)
Un altro spiacevole inconveniente riguarda la privacy di migliaia di video personali registrati con Zoom visualizzabili liberamente sul Web. A segnalare il tutto il 3 aprile 2020 è stato The Washington Post.
I video di Zoom non vengono registrati per impostazione predefinita, chi ospita le riunioni può scegliere di registrare le video chiamate di gruppo e salvarle sui server Zoom o sui propri computer senza il consenso dei partecipanti. Zoom integra una funzionalità che mostra una notifica quando una video chiamata viene registrata ma questo non impedisce che l’ospitante possa condividere online, su server non privati, tali video contenenti dati sensibili.
Zoom salva ogni registrazione con lo stesso nome. The Washington Post ha scoperto che, utilizzando un semplice motore di ricerca, conoscendo la query adeguata, è possibile trovare online video registrazioni lasciate dagli utenti su server non protetti da password.
The Fra i video troviamo registrazioni sensibili per la privacy degli utenti (sessioni di terapia psicologica) compresi nomi e numeri di telefono, riunioni di piccole imprese che includevano dati sui bilanci, video relativi a classi delle scuole elementari in cui sono esposti, volti, voci e altri dettagli personali dei bambini.
Alcune chiamate sono state instradate in Cina per errore
I ricercatori di sicurezza dal Citizen Lab dell’Università di Toronto hanno fatto una curiosa scoperta. Durante una riunione di test fra due utenti tramite Zoom, uno risiedente negli Stati Uniti ed uno in Canada, hanno scoperto che la chiave di AES-128 utilizzata per la crittografia e decrittografia della conferenza veniva inviata ad uno dei partecipanti tramite TSL da un server Zoom situato in Cina. Una scansione ha mostrato un totale di cinque server in Cina.
La società che sviluppa Zoom ha risposto sul suo blog ufficiale al Citizen Lab spiegando il perché di questo comportamento.
Durante le normali operazioni i client Zoom tentano di connettersi ad una serie di datacenter primari all’interno o in prossimità della regione di un utente e se questi tentativi di connessione multipli falliscono a causa della congestione della rete o di altri problemi, i client raggiungeranno due datacenter secondari che possono trovarsi in regioni limitrofe.
I sistemi di Zoom sono progettati per mantenere la geo-recinzione in Cina sia per i datacenter primari che secondari, garantendo che gli utenti al di fuori della Cina non possano instradare i dati delle riunioni attraverso i datacenter della Cina continentale (di proprietà di Telstra un importante fornitore di comunicazioni australiano, nonché di Amazon Web Services).
Tuttavia, a febbraio, Zoom ha rapidamente aggiunto capacità alla nostra regione cinese per gestire un massiccio aumento della domanda. Per via della fretta, hanno erroneamente aggiunto due datacenter cinesi a una lunga lista bianca di bridge di backup, consentendo potenzialmente ai client non cinesi di connettersi a loro quando i server primari non cinesi non erano disponibili. Questa modifica alla configurazione è stata apportata a febbraio.
Dopo aver appreso della segnalazione del Citizen Lab, Zoom ha immediatamente rimosso i datacenter della Cina continentale dalla lista bianca dei bridge di backup secondari per gli utenti al di fuori della Cina.
Oltre 500.000 account Zoom venduti sul dark web
Stando a quanto dichiarato da Cyble (una società di intelligence che si occupa di sicurezza informatica) ai colleghi di BleepingComputer, oltre 500.000 account Zoom vengono attualmente venduti sul dark weeb e sui forum di hacker a poco meno di un centesimo di dollaro ciascuno e, in alcuni casi, ceduti gratuitamente.
Cyble ha iniziato a notare la vendita di questi account a partire dal 1 Aprile 2020 e, dopo aver contattato indirizzi e-mail casuali esposti in questi elenchi e aver avuto la conferma che alcune delle credenziali erano corrette, ha provveduto ad acquistare in blocco di circa 530.000 credenziali di Zoom a $ 0,0020 per account.
Gli account acquistati includono l’indirizzo e-mail, la password, l’URL della riunione personale e l’HostKey della vittima.
Fra i dati recuperati ci sono account di aziende famose come Chase, Citibank e svariati istituti scolastici.
Per maggiori informazioni BleepingComputer – Over 500,000 Zoom accounts sold on hacker forums, the dark web