Zoom-lek gaf toegang tot lijst met alle gebruikers van een organisatie
Een beveiligingslek in videoconferentiesoftware Zoom maakte het mogelijk om toegang te krijgen tot de gegevens van alle Zoom-gebruikers binnen willekeurige organisaties. Het kon dan gaan om voor- en achternaam, e-mailadressen, telefoonnummer en andere informatie in de vCard van de betreffende Zoom-gebruikers.
Zoom biedt verschillende features, waaronder een chatoptie. Gebruikers kunnen via Zoom naar andere gebruikers binnen hun organisatie zoeken. Hiervoor verstuurt Zoom een verzoek naar de server waarin de groepsnaam van de organisatie staat opgegeven. Deze groepsnaam is het e-maildomein dat de organisatie voor de registratie heeft gebruikt.
Zoom controleerde niet dat de gebruiker die een verzoek verstuurde ook daadwerkelijk bij het opgevraagde domein behoorde. Zo konden willekeurige gebruikers contactlijsten van willekeurige domeinen opvragen. De enige vereiste was dat een aanvaller over een geldig Zoom-account beschikte, dat gratis via de website van Zoom is aan te maken.
Vervolgens was het mogelijk om verzoeken voor willekeurige domeinen naar de Zoom-server te sturen, die daarop met de contactgegevens van gebruikers van de betreffende organisatie antwoordde. Volgens Cisco, dat de kwetsbaarheid ontdekte, zouden aanvallers hiermee allerlei gegevens kunnen verzamelen die voor spearphishingaanvallen zijn te gebruiken. Zoom heeft de kwetsbaarheid inmiddels verholpen.
noodzakelijkerwijs tot dezelfde organisatie behoren! Dat is een grote misvatting van zoom.
Zeker niet als je van die 2e rang Developers een redelijk complexe app laat maken.
Want anders zouden ze wel bij bv Microsoft werken, gezien daar alleen maar de beste Developers ter wereld, waarvan de meesten daar multimiljonair zijn geworden, dik 2500 en dan nog wordt er bij bv W10 regelmatig lekken ontdekt.
Wat ik ook niet begrijp...dat je op TV en vooral in de landen om ons heen en zeker USA, ze allemaal Skype gebruiken.
En om me heen is het allemaal via WhatsApp of Facetime….heel uniek
Deze posting is gelocked. Reageren is niet meer mogelijk.
Senior specialist informatiebeveiliging
Algemene Rekenkamer
Van het regisseren van kwetsbaarheden-analyses tot het oplossen van incidenten: jij doet het allemaal. Want jouw functie van senior specialist informatiebeveiliging is veelzijdig. Vanuit Den Haag zorg je dat de Algemene Rekenkamer veilig is en blijft. Je focust op monitoring, penetration testing en forensics. Daarnaast adviseer je over de verdere ontwikkeling van de netwerk-structuur.
Senior adviseur
integrale beveiliging
Belastingdienst
Het grootste kapitaal van de Belastingdienst? Onze medewerkers. Daar weten wij bij Klant-interacties en -services (KI&S) alles van. In de rol van senior adviseur integrale beveilig-ing, ook wel business-securityofficer, zorg je dat de dienstverlening en bedrijfsvoering van KI&S optimaal blijven voldoen aan relevante vereisten op het terrein van integrale beveiliging.
Information Security Officer
Wil jij als Information Security Officer werken op het raakvlak van informatiebeveiliging en onderzoek? En dat op de groenste campus van de wereld? Lees dan snel verder!
Certified Secure Jobs
Tijd voor een nieuwe challenge? Lijkt het jou leuk om te werken met een team van technische security experts bij het leukste securitybedrijf van Nederland? Ter uitbreiding van ons team zijn wij momenteel op zoek naar Trainers, Frontend developers, Backend developers en Sysops. Maak je move naar security en check onze vacatures!
Are you ready for a challenge?