Ați avut vreodată nevoie de o parolă pentru platforma Zoom? Probabil că nu.


A fost vreodată necesar să introduceți o parolă când ați participat la o întâlnire prin aplicația de video conferință Zoom? Dacă da, atunci cu siguranță că aparțineți unei minorități din rândul utilizatorilor Zoom. Este posibil ca persoana care a găzduit conferința să fi stabilit în mod voit o parolă pe care participanții să o introducă când accesează link-ul. Dar mai este necesară introducerea parolei dacă aceasta este deja încorporată în detaliile link-ului?

Când planificați o întâlnire prin platforma Zoom, așa cum puteți observa în figura 1, există opțiunea „require meeting password”, care este setată în mod implicit pe „on”. Zoom a schimbat recent această opțiune care înainte era dezactivată, devenind implicit activată, ca răspuns la problemele de confidențialitate ale platformei privind persoanele neautorizate care se alăturau întâlnirilor. Persoana care programează întâlnirea se așteaptă probabil ca participanții să aibă nevoie de parolă pentru a se conecta. De cele mai multe ori, când un serviciu vă cere să creați o parolă pentru a accesa un cont, acesta solicită în mod normal parola de fiecare dată când vă conectați.

Figura 1 - Platforma Zoom solicită de acum în mod implicit setarea unei parole

O invitație de acest tip este generată, ajutându-vă să trimiteți detaliile către persoanele cu care doriți să interacționați, informându-le cu privire la modul în care pot să participe la conferință. Această invitație include data și ora întâlnirii, un link pentru a accesa platforma și ID-ul și parola videoconferinței, după cum se poate vedea în figura 2. În calitate de gazdă a mai multor întâlniri prin platforma Zoom, în nicio etapă nu am fost notificat de faptul că invitații vor putea să se alăture fără a introduce parola, mă așteptam să fie necesar să introducă parola pentru a putea participa.

Figura 2  - Invitație Zoom primită pe e-mail, cu o parolă implicită aleatorie

Observați în figura 2, URL-ul invitației „Join Zoom Meeting” include un parametru „pwd =” urmat de numeroase caractere aparent aleatorii. Șirul aleatoriu este o versiune codificată a parolei, care este listată în forma sa simplă sub ID-ul întâlnirii. Mai simplu spus: atât versiunile codificate, cât și cele simple ale parolei sunt ambele incluse în aceeași invitație care este de obicei trimisă în această formă către participant. În acest moment, introducerea parolei pare inutilă și nu oferă niciun nivel suplimentar de securitate.

Următorul pas este să trimiteți invitația; dacă toți destinatarii fac parte din compania dvs., atunci conexiunea este probabil sigură, pentru că echipa IT se ocupă de aspectele de securitate. Dacă trimiteți unui destinatar aflat în afara companiei, conținutul mesajului e-mail va traversa rețelele publice. Vestea bună este că, potrivit Google, 93% din e-mailurile primite sunt criptate în timp ce tranzitează rețelele publice. Deși cu o probabilitate scăzută, există totuși riscul de interceptare frauduloasă a e-mailului unei anumite persoane, aflându-se astfel detalii privind videoconferința, inclusiv parola.

Invitația ajunge în căsuța de e-mail a invitatului. În momentul în care este programată ședința, tot ce trebuie să faceți, din perspectiva unui simplu participant, este să accesați linkul atașat invitației. Persoana care găzduiește conferința se așteaptă ca invitatul să fie obligat să introducă  parola, pentru că așa a fost configurată invitația. Cu toate acestea, introducerea parolei nu este un pas cerut, pentru că prin configurarea sistemului, ea este deja încorporată în link-ul de participare la conferință și este disimulată sub forma unor caractere aleatorii. Care mai este în acest caz rostul utilizării unei parole?

Cealaltă modalitate de a vă alătura unei întâlniri prin platforma Zoom este de a introduce ID-ul întâlnirii, format din 9 cifre; dacă încercați să vă alăturați unei ședințe folosind această metodă și o parolă a fost configurată de gazdă, atunci, în acest caz, va fi afișat un mesaj care solicită introducerea parolei. Acest lucru oprește accesul persoanelor care încearcă să se conecteze la întâlnire introducând doar ID-ul întâlnirii, rezultând astfel o reducere a situațiilor neplăcute care pot apărea atunci când utilizăm Zoom. Acestea fiind spuse, persoanele rău-intenționate care încearcă să ia cu asalt ședințele private, pot utiliza în continuare diverse tactici pentru a identifica ID-uri de întâlnire valabile, prin setarea unor scripturi care rulează diferite coduri de întâlnire până găsesc unul valabil. Însă se vor lovi de necesitatea de a introduce o parolă pe care, firește, nu o pot intui sau ghici.

În primul caz descris anterior, există riscul ca cineva să trimită invitația în întregime unei persoane neautorizate care ar putea mai apoi să se alăture conferinței, având acces la link-ul cu parola încorporată și deci la parola propriu-zisă. 

Fenomenul de zoom-bombing (luarea cu asalt a conferințelor de către persoane neautorizate) a fost în primul rând, o problemă pentru școli și studenți, pentru că indivizi rău-intenționați se alăturau conferințelor video destinate copiilor și tinerilor și afișau conținut rasist sau necorespunzător. Dispozitivul unui elev sau student conține probabil aplicații sau extensii de browser destinate relaxării sau petrecerii timpului cu prietenii, de exemplu, aplicații de chat. Dacă o extensie web are permisiunea de a citi istoricul de navigare, atunci link-ul cu parola încorporată poate fi accesat de dezvoltatorii de extensii și s-ar putea alătura acelei videoconferințe la care elevul ia parte, fără a ști parola, doar prin accesarea istoricului browser-ului utilizatorului.

Extensiile populare pe care studenții le-ar putea avea, partajează cu diferiți terți detaliile conferinței, inclusiv parolele încorporate. Pentru a testa acest lucru, am accesat Chrome Web Store și am încercat să adaug două extensii Chrome care au peste 1 milion de descărcări fiecare. Ambele au cerut următoarea permisiune - „Read your browsing history”.

Figura 3 - O extensie web care solicită permisiuni suplimentare

Acest drept permite acestor două companii terțe să acceseze întreg istoricul de navigare, inclusiv link-urile care aparțin oricărei conferințe Zoom la care am luat parte și care au inclus în mod implicit parola încorporată. Nu am numit extensiile pe care am încercat să le adaug în browser-ul meu, deoarece companiile în cauză pot avea motive legitime de a colecta datele și ar putea să le stocheze în siguranță. Cu toate acestea, este posibil să le partajeze și cu alte părți terțe care nu protejează datele în mod corespunzător.

Dacă întâlnirea este creată folosind setările implicite ale Zoom și este planificată să se întâmple la un interval regulat de timp, atunci link-ul de invitație, inclusiv parola, pot fi fi distribuite furnizorilor de extensii și oricărei alte părți terțe. Persoanele care programează o întâlnire nu iau în considerare și acest aspect, ei bazându-se pe faptul că o parolă va fi solicitată participantului.

Zoom oferă posibilitatea de a opri funcția „embedded password”. Această opțiune nu este însă una disponibilă în momentul creării unei întâlniri, gazda fiind nevoită să facă această schimbare accesând versiunea desktop a platformei, în meniul “Personal - Settings”.

În momentul în care un utilizator creează o ședință prin intermediul Zoom ar trebui să fie afișată o alertă de notificare, care să anunțe folosirea setărilor implicite ale parolei, informând gazda că nu va fi necesară de fapt introducerea parolei de către vreun participant, inclusiv persoane terțe, care au acces la link-ul de întâlnire.

Ce mai puteți face

Trebuie să luați în considerare mai multe aspecte atunci când planificați o întâlnire prin Zoom și sunteți preopcupat de securitatea ei. Aflați mai multe detalii privind confidențialitatea platformei Zoom în cadrul articolului nostru dedica, împreună cu câteva sfaturi pentru a menține serviciul cât mai securizat.

Tony Anscombe April 16, 2020

Lasa un comentariu