Een beveiligingslek in videoconferentiesoftware Zoom maakte het mogelijk om toegang te krijgen tot de gegevens van alle Zoom-gebruikers binnen willekeurige organisaties. Het kon dan gaan om voor- en achternaam, e-mailadressen, telefoonnummer en andere informatie in de vCard van de betreffende Zoom-gebruikers.
Zoom biedt verschillende features, waaronder een chatoptie. Gebruikers kunnen via Zoom naar andere gebruikers binnen hun organisatie zoeken. Hiervoor verstuurt Zoom een verzoek naar de server waarin de groepsnaam van de organisatie staat opgegeven. Deze groepsnaam is het e-maildomein dat de organisatie voor de registratie heeft gebruikt.
Zoom controleerde niet dat de gebruiker die een verzoek verstuurde ook daadwerkelijk bij het opgevraagde domein behoorde. Zo konden willekeurige gebruikers contactlijsten van willekeurige domeinen opvragen. De enige vereiste was dat een aanvaller over een geldig Zoom-account beschikte, dat gratis via de website van Zoom is aan te maken.
Vervolgens was het mogelijk om verzoeken voor willekeurige domeinen naar de Zoom-server te sturen, die daarop met de contactgegevens van gebruikers van de betreffende organisatie antwoordde. Volgens Cisco, dat de kwetsbaarheid ontdekte, zouden aanvallers hiermee allerlei gegevens kunnen verzamelen die voor spearphishingaanvallen zijn te gebruiken. Zoom heeft de kwetsbaarheid inmiddels verholpen.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior specialist OSINT
Ben jij enthousiast en leergierig en wil je het cybercrimeteam Oost Nederland verder helpen in de aanpak van digitale criminaliteit? We zijn op zoek naar een junior specialist Open Source Intelligence (OSINT). Weet jij de digitale wereld van buiten naar binnen te halen? Dan is deze functie iets voor jou!
Juridische vraag: ik las in het FD dat concurrenten de AVG niet tegen elkaar in konden zetten. Maar het is toch oneerlijke ...
Een digitaal paspoort, recht op een betaalbare en snelle internetverbinding, 'digitale inburgering' of digitaal stemmen, het ...
Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.
Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.
Geef je e-mailadres op en kies een alias van maximaal 30 karakters.
Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.