Zoom ha annunciato di aver risolto l’ennesima falla di sicurezza. Un bug rendeva fin troppo semplice ai truffatori impersonare gli impiegati di un’azienda o di un’organizzazione terza.
I criminali potevano sfruttare una falla del sistema di “Vanity URL” di Zoom. La piattaforma dà ai suoi clienti premium la possibilità di creare link per le videoconferenze personalizzate (ad es. federalreserve.zoom.us al posto di una semplice successione di codici alfanumerici), fino a poco tempo fa era possibile appropriarsi del link personalizzato di un’azienda in modo estremamente semplice.
Era sufficiente creare un link normale, ad es. https://zoom.us/j/##########, e quindi anteporre il sotto dominio personalizzato dell’azienda che si voleva impersonare senza che il link perdesse di funzionalità. Il risultato sarebbe stato qualcosa del tipo federalreserve.zoom.us/j/##########. Abbastanza credibile per qualsiasi persona senza grossa conoscenza del sistema di Vanity URL di Zoom.
Zoom ha annunciato di aver risolto il problema, il trucchetto non funziona più. Non sappiamo, spiega The Next Web, se la falla sia stata utilizzata dai criminali per operazioni di phishing, Zoom questo non l’ha detto, né ha spiegato attraverso quale processo di revisione abbia identificato il problema (su segnalazione esterna? Dopo un check di routine interno?).
Dall’inizio della quarantena, a marzo, la diffusione di Zoom ha registrato una crescita verticale. L’incremento d’uso ha portato con sé anche una serie di sfide che non sempre sono state gestite nel migliore dei modi o in tempi adeguati: