Insights > Blog

Zoom-Bombing, sequestro e privacidade para VTC

As diretrizes de distanciamento social criadas como resultado do Coronavírus (COVID-19) levaram a um boom no uso de videoteleconferência (VTC). Diante do isolamento de familiares, amigos, colegas e professores, milhões de pessoas estão ligando suas webcams e se conectando.
Existem muitas plataformas disponíveis para manter contato. Atualmente, o Zoom aparece como uma das principais soluções de VTC. A ferramenta possui atualmente mais de 200 milhões de usuários diários.
Para uma pessoa comum que usa o Zoom para conversar com amigos ou fazer uma ligação rápida com um colega de trabalho, a privacidade pode não ser uma preocupação. Se o assunto de uma conversa em Zoom for mais sensível, o host e os participantes deverão considerar a privacidade e outros elementos da reunião.
Algumas dicas fornecidas pelo Zoom incluem definir uma senha de reunião, controlar quem pode compartilhar sua tela e entre outras definições.

Zoom Bombing
O FBI e muitos meios de comunicação apontaram áreas de vulnerabilidade que podem ser exploradas no Zoom. Como nos acesso as salas de bate-papo, as sessões de Zoom podem trazer pessoas que procuram trollar, chocar e espalhar mensagens odiosas. Essas tentativas não são tecnicamente consideradas hacks, pois resultam em configurações inadequadas não realizadas pelo usuário.
O termo para travar não convidado para uma reunião do Zoom é “Zoom Bombing”. Exemplos de incidentes com o Zoom Bombing são abundantes. O escritório de campo do FBI em Boston detalhou vários incidentes de aulas realizadas on-line que foram interrompidas bem como serviços religiosos foram interrompidos por haver insultos.
Uma outra ferramenta do playbook do Zoom-disrupter é a automatização do acesso a reuniões. Pesquisadores nomearam de War Dialer, que roda baseado em parametros para dar acesso as reuniões.

Criptografia
A questão da criptografia das reuniões surgiu como um ponto de discussão. Embora seja verdade que o Zoom não oferece criptografia 100% em todos os níveis do processo de comunicação de ponta a ponta, eles possuem várias técnicas de criptografia em uso. Cada organização que decide usar o Zoom tem suas próprias tolerâncias a riscos, com base nas informações que devem ser confidenciais e nas que não precisam necessariamente ser mantidas em sigilo. A Cipher recomenda que você analise as informações compartilhadas no Zoom e dedida sobre o que é e o que não deve ser criptografado para tomar uma decisão informada a esse respeito.

Problemas de privacidade de dados anteriores corrigidos

O Zoom tem sido ativo na resposta a novos problemas de privacidade que surgem neste momento de pandemia. A empresa está passando pelo teste final de estresse, com milhões de pessoas reunindo-se na ferramenta como uma tábua de salvação para a conexão social e profissional. Zoom afirmou que eles estão dedicando os próximos 90 dias a se concentrar em solucionar questões sobre privacidade e segurança.
No passado, os dados do aplicativo iOS enviavam dados de análise para o Facebook. Esse problema de privacidade foi identificado e corrigido. Outro problema do passado envolveu uma vulnerabilidade que virou recurso.
Empresas com o mesmo domínio de email estão vinculadas. Para essas empresas, isso pode tornar os convites do Zoom mais convenientes. Isso resulta em quem pode ver as fotos um do outro e iniciar bate-papos em vídeo. O zoom bloqueou os populares fornecedores de email gratuitos desse recurso, mas alguns domínios pessoais não foram excluídos. As pessoas com um endereço de email pessoal são expostas aos seus colegas provedores de email.

Privacidade vs. Facilidade de Uso

O zoom está sendo usado nas pela alta gestão de governos ao redor do mundo. O primeiro-ministro britânico twittou uma foto de sua reunião de gabinete usando o Zoom. Isso ocorreu dias depois que o Ministério da Defesa proibiu o uso da ferramenta por questões de segurança. A situação exemplifica a troca entre segurança e facilidade de uso.

Recomendações para manter-se seguro
Os hackers vão explorar o que é popular na sociedade. O Zoom está atualmente em destaque e levou a um boom de criminosos usando qualquer coisa com o tema “Zoom” para realizar phishing ou fraudes. Milhares de nomes de domínio com Zoom neles foram registrados para serem usados como ponto de partida para ataques (por exemplo, yourcomany-zoom.com). Isso é semelhante às técnicas tradicionais de erro de digitação.

O FBI e outras empresas de segurança recomendaram algumas maneiras de permanecer seguro:
• Verifique se as reuniões são privadas, exigindo uma senha para entrada ou controlando o acesso de convidados de uma sala de espera. Isso impede que as pessoas retornem às reuniões após serem expulsas.
• Verifique se o software da reunião está atualizado. Isso é crítico. Zoom e outros lançam correções à medida que as vulnerabilidades são mitigadas.
• Não publique seus links de Zoom nas mídias sociais ou online, a menos que você esteja bem com a possibilidade de Zoom Bombing.

Gostou deste artigo? Deixe seus comentários.

0 Comments

Submit a Comment Cancel reply

RECEBA NOSSAS NOTÍCIAS!

Information Security Maturity Self-Assessment Survey

Saiba mais

• Whitepapers
• E-books
• Checklists
• Self-Assessments
• Webcasts
• Infographics

Cookie	Duração	Descrição
__hssrc	sessão	O Hubspot define este cookie cada vez que o cookie da sessão muda. O cookie __hssrc ajustado a 1 indica que o utilizador reiniciou o navegador, e se o cookie não existir, assume-se que se trata de uma nova sessão.
_GRECAPTCHA	5 meses 27 dias	Este cookie é definido pelo Google. Além de certos cookies padrão do Google, o reCAPTCHA define um cookie necessário (_GRECAPTCHA) quando executado com o objetivo de fornecer sua análise de risco.
viewed_cookie_policy	1 ano	Este cookie é definido pelo suplemento de consentimento de cookies da GDPR e é utilizado para armazenar se o utilizador consentiu ou não na utilização de cookies. Não armazena quaisquer dados pessoais.

Cookie	Duração	Descrição
AnalyticsSyncHistory	1 mês	Sem descrição
li_gc	2 anos	Não há descrição disponível.
UserMatchHistory	1 mês	Linkedin - Usado para localizar visitantes em múltiplos sítios web, a fim de apresentar anúncios relevantes com base nas preferências dos visitantes.

Cookie	Duração	Descrição
bscookie	2 anos	Este cookie é um cookie de identificação do navegador definido por Botões de partilha Linked e etiquetas de anúncios.
IDE	1 ano 24 dias	Os cookies IDE Google DoubleClick são utilizados para armazenar informação sobre a forma como o utilizador utiliza o sítio web a fim de apresentar ao utilizador anúncios relevantes e direccionados.
test_cookie	15 minutos	O cookie test_cookie é definido por doubleclick.net e é utilizado para determinar se o navegador do utilizador suporta cookies.
VISITOR_INFO1_LIVE	5 meses 27 dias	Um cookie definido pelo Youtube para medir a largura de banda que determina se o utilizador recebe a nova ou a antiga interface do leitor.
YSC	sessão	O cookie do YSC é definido pelo YouTube e é utilizado para acompanhar as visualizações de vídeos incorporados nas páginas do YouTube.
yt-remote-connected-devices	nunca expira	O YouTube define este cookie para armazenar as preferências de vídeo do utilizador que utiliza o vídeo do YouTube incorporado.
yt-remote-device-id	nunca expira	O YouTube define este cookie para armazenar as preferências de vídeo do utilizador utilizando o vídeo do YouTube incorporado.

Cookie	Duração	Descrição
__hstc	1 ano 24 dias	Este é o cookie principal criado pelo Hubspot, para rastreio de visitantes. Contém o domínio, o carimbo temporal inicial (primeira visita), o último carimbo temporal (última visita), o carimbo temporal actual (esta visita) e o número de sessão (incrementado para cada sessão subsequente).
_ga	2 anos	O cookie _ga, definido pelo Google Analytics, calcula os dados do visitante, da sessão e da campanha e também rastreia a utilização do site para relatórios de análise do site. O cookie armazena informação anonimamente e atribui um número gerado aleatoriamente para reconhecer visitantes únicos.
_gat_gtag_UA_86671402_1	1 minuto	Este cookie é definido pelo Google e é utilizado para distinguir os utilizadores.
_gcl_au	3 meses	Fornecido pelo Google Tag Manager para testar a eficácia da publicidade dos sítios web que utilizam os seus serviços.
_gid	1 dia	Definido pelo Google Analytics, o cookie _gid armazena informações sobre como os visitantes utilizam um sítio web, enquanto cria um relatório analítico do desempenho do sítio. Alguns dos dados recolhidos incluem o número de visitantes, de onde provêm e as páginas que visitam anonimamente.
CONSENT	16 anos 3 meses 14 dias 7 horas	Estes cookies são definidos através de vídeos YouTube incorporados. Gravam dados estatísticos anónimos sobre, por exemplo, o número de vezes que o vídeo é visto e as definições utilizadas para a reprodução. Os dados sensíveis não são recolhidos a menos que esteja ligado à sua conta Google, caso em que as suas escolhas estão ligadas à sua conta, por exemplo, se clicar em "gostar" num vídeo.
hubspotutk	1 ano 24 dias	Este cookie é utilizado pela HubSpot para localizar os visitantes do website. Este cookie é passado ao Hubspot em formulários e é utilizado quando se deduplicam contactos.

Cookie	Duração	Descrição
__cf_bm	30 minutos	Este cookie, definido pelo Cloudflare, é utilizado para apoiar a Gestão de Botões Cloudflare.
__hssc	30 minutos	HubSpot define este cookie para acompanhar as sessões e para determinar se o HubSpot deve aumentar o número de sessões e os carimbos temporais no cookie __hstc.
bcookie	2 anos	O LinkedIn define este cookie de botões de partilha e etiquetas de anúncios do LinkedIn para reconhecer o ID do navegador.
lang	sessão	Este cookie é utilizado para armazenar as preferências linguísticas de um utilizador, a fim de exibir o conteúdo nessa língua armazenada na próxima vez que o utilizador visitar o website.
lidc	1 dia	O cookie lidc é colocado pelo LinkedIn para facilitar a selecção do centro de dados.

Insights > Blog

Zoom-Bombing, sequestro e privacidade para VTC

Gostou deste artigo? Deixe seus comentários.

0 Comments

Submit a Comment Cancel reply

RECEBA NOSSAS NOTÍCIAS!

Information Security Maturity Self-Assessment Survey

Saiba mais

Social Media

LinkedIn

Powered by Juicer

LinkedIn

Social Media

Twitter

Twitter feed is not available at the moment.

Social Media

Facebook

Insights

Whitepaper

Dig into the details of cybersecurity and regulations by reading our exclusive white papers. Each paper is written by an expert at Cipher and full of insight and advice.

Saber mais