De standaardwachtwoorden van Zoom-meetings waren binnen enkele minuten te kraken, zegt een Britse beveiligingsonderzoeker. De wachtwoorden bestonden uit een zescijferige code en de dienst beperkte het herhaaldelijk invoeren van wachtwoorden amper. De fout is nu gefikst.
Beveiligingsonderzoeker Tom Anthony schrijft op zijn blog dat de webclient van Zoom checkt of een wachtwoord dat de gebruiker invoerde voor een Zoom-meeting klopte of niet, door het gebruik van twee http-requests. In het eerste http-request wordt een combinatie van een gebruikers-id en een wachtwoord gestuurd, met het tweede http-request checkt Zoom of dit eerder gestuurde wachtwoord klopt. Anthony schrijft dat met dit proces het wachtwoord al te kraken zou zijn, maar dat het relatief lang zou duren omdat de gebruiker iedere keer zou moeten wachten tot de server een wachtwoord gecheckt heeft. Door het gebruik van zescijferige standaardwachtwoorden, waren er maximaal een miljoen mogelijke standaardwachtwoorden.
Anthony kwam erachter dat je als gebruiker een nieuw gebruikers-id kon aanvragen, door het sturen van cookieloze http-requests. Op die manier kon de onderzoeker meerdere id's aanvragen, waarmee hij iedere keer een uniek wachtwoord kon testen. Via een Python-script wist hij zo met honderd threads 25 wachtwoorden per seconden te checken. Met de clouddienst AWS wist hij in 25 minuten 91.000 wachtwoorden te controleren. Als hij zijn script had verbeterd en vier tot vijf AWS-servers had gebruikt, claimt Anthony dat hij binnen enkele minuten ieder wachtwoord had kunnen kraken. Dit heeft hij niet getest om 'de Zoom-dienst niet te storen', wel zegt hij tijdens eerdere pogingen nooit gethrotteld of geblokkeerd te zijn.
Herhaalde Zoom-meetings gebruiken volgens Anthony daarnaast altijd hetzelfde wachtwoord, wat het probleem groter zou maken. Ook meetings die nog niet waren gestart, maar al wel waren ingepland, waren volgens Anthony vatbaar voor misbruik. Zoom gebruikte wel een cross-site request forgery-token die misbruik tegen zou moeten gaan, maar deze wist Anthony eenvoudig te omzeilen.
De onderzoeker nam op 1 april contact op met Zoom om het probleem kenbaar te maken. Hij adviseerde onder meer om het standaardwachtwoord langer te maken en het herhaald invoeren van een wachtwoord te beperken. De videobeldienst haalde de webclient een dag later offline, op 9 april was deze gefikst en weer online gezet. Zoom heeft volgens Anthony nooit gecommuniceerd wat de dienst aanpaste, wel moeten gebruikers inmiddels ingelogd zijn om deel te nemen via de webclient en bevatten standaardwachtwoorden nu ook letters. Hiermee is de fout volgens Anthony niet meer te misbruiken.
Zoom heeft sinds de uitbraak van het coronavirus een enorme stijging gezien in het aantal gebruikers. Hieronder vallen ook politici, zo gebruikte het Britse kabinet de videobeldienst voor besprekingen. Tegelijkertijd bleek de dienst veel beveiligingslekken te kennen, waar het bedrijf eerder haar excuses voor heeft aangeboden.