Bir güvenlik araştırmacısı görüntülü görüşme yazılımı Zoom için hesap ele geçirme açığı buldu ve detayları Medium yazısında paylaştı.
Zoom hesap ele geçirme açığı nasıl çalışıyor?
Buna göre herhangi bir Zoom kullanıcısının hesabı ele geçirilebiliyordu. Ele geçirilen Zoom hesabıyla toplantılara katılma, sohbetleri, video, fotoğraf gibi dosyaları görüntüleyebilme, e-posta adreslerini okuma mümkün oluyor. Zoom güvenlik ekibine durumu bildiren güvenlik araştırmacısı 3 bin dolar ödül alırken, açık 1 Nisan’da kapatıldı.
Bağımsız güvenlik araştırmacısı s3c, Medium’daki yazısında Zoom’u nasıl hack’lediğini anlattı.
Zoom’a e-posta kullanmayan bir Facebook hesabıyla kayıt olurken, Zoom kullanıcılardan bir e-posta istiyor. Daha sonra Zoom, girilen e-posta adresine hesap etkinleştirme kodu ve etkinleştirme için gereken internet bağlantısını gönderiyor.
Açık ise bu bağlantıya tıklandığında, Zoom’un aslında e-posta adresini doğrulamamasından kaynaklanıyor. Bu bağlantıyı değiştirerek tüm hesaplar bir Facebook hesabına bağlanabiliyor. Bu bağlantı üzerinden hesaba erişebilen kötü niyetli kullanıcılar ise, toplantılara katılabiliyor, sohbetleri, video, fotoğraf gibi dosyaları görüntüleyebiliyor, e-postaları okumak başta olmak üzere, tüm hesap işlevlerinden faydalanabiliyor.
Açığı 30 Mart’ta bulan kullanıcı, Zoom güvenlik ekibine bildirdikten 2 gün sonra, 1 Nisan’da hatanın giderildiğini ve 3 bin dolar ödül aldığını da yazıda belirtiyor.
