Caso Zoom, parte 1: o preço da simplicidade

O Zoom, plataforma de reuniões e videoconferências, caiu do posto de queridinha das pessoas que estão em isolamento social depois de ter passado por diversos escândalos de privacidade. Várias notícias foram veiculadas dizendo que o Zoom é inseguro exatamente no período em que o aplicativo chegou a registrar, por dia, mais de 25 milhões de reuniões. O assunto repercutiu e muita gente ficou em dúvida se deveria desinstalar a ferramenta. 

Então vamos explorar melhor os fatos dessa história para entendermos quais as falhas de segurança que foram detectadas, que risco elas trazem e, principalmente, como você pode continuar usando o Zoom de forma um pouco mais segura.

O grande atrativo do Zoom era, e ainda é, o fato de ser uma plataforma extremamente fácil de usar. Essa descomplicação foi o que impulsionou o aumento exponencial durante a pandemia de coronavírus, com o distanciamento social. Antes mais restrita ao ambiente de empresas e startups, virou a plataforma para a vovó falar com o netinho, para os happy hours virtuais e para as aulas remotas da escolinha das crianças. 

Portanto, essa simplicidade foi seguramente a benção do Zoom. Mas, ao mesmo tempo, acabou se tornando sua maldição. Como? Eu explico.

Como quase tudo no mundo de segurança digital, quando criamos uma nova aplicação ou desenvolvemos um novo produto que precisam de segurança, nos vemos diante de um dilema. Via de regra, quanto maior a simplicidade, maior é o risco de serem criadas vulnerabilidades em termos de segurança digital. Ao contrário, quanto maior o nível de segurança digital, mais difícil é manter tudo tremendamente simples, no nível do usuário. A Zoom escolheu a simplicidade extrema. E, com isso, a proteção ficou em segundo plano.

Quais foram as brechas de segurança encontradas?

Primeira, o Zoom Booming, como ficou conhecido, que nada mais é do que ter uma reunião ou uma videoconferência invadidas por um terceiro. E esse intruso pode enviar o que quiser, como conteúdos impróprios, ou simplesmente ficar observando a conversa. 

A segunda brecha trata da possibilidade do organizador de uma reunião gravar o que está sendo discutido. E em prol da simplicidade, os nomes dos arquivos são gerados de uma forma idêntica, e não aleatória, como é o comum. Assim, os arquivos poderiam ser encontrados por meio de uma busca online, o que quer dizer que qualquer pessoa poderia encontrá-los. Os vídeos pesquisáveis acabaram vazando porque estavam armazenados de forma desprotegida na Amazon Web Services. Foram reportados vazamentos de vídeos com aulas com crianças, sessões de terapia e até esteticistas ensinando práticas de depilação íntima feminina.

E aí, chegamos à terceira, e potencialmente, mais grave brecha do Zoom. Muitos desses vídeos contêm informações sensíveis. Relatórios financeiros de empresas, nomes e telefones de pacientes em chamadas médicas, rostos, vozes e detalhes pessoais de crianças em aulas remotas. Dados podem ser usados por hackers para os mais diversos tipos de crime, tanto para fraudes eletrônicas, como para golpes que envolvam engenharia social.

Mas as vulnerabilidades encontradas tornam o Zoom totalmente inseguro? As pessoas devem parar de usá-lo?

No próximo post, eu vou passar o passo a passo para quem quer continuar utilizando a ferramenta com mais tranquilidade.

Por Allan Costa

Faça um comentário

Sobre este blog:

Aqui você vai encontrar notícias e análises sobre segurança da informação, novas ameaças virtuais, vulnerabilidades e tendências tecnológicas, tudo produzido pela equipe da ISH Tecnologia.

Nosso objetivo é levar as pessoas a pensarem em segurança, com conteúdo apoiado na experiência prática e no conhecimento profissional do time ISH, que acumula anos de trabalho no setor de proteção de dados.

Nossas Redes Sociais:

Este site usa cookies para melhorar sua experiência. Os dados pessoais coletados são obtidos apenas nos campos de comentários e formulário de contato.