Gran parte de los videos fueron grabados utilizando el software de Zoom y luego fueron almacenados online, en otros servicios, sin contraseña. No se trata de videos almacenados en los servidores de Zoom.
Debido a que la plataforma nombra cada grabación de video de manera idéntica, una simple búsqueda online puede revelar una larga secuencia de clips que se pueden descargar y ver con facilidad, de acuerdo con The Washington Post.
Los videos de Zoom no se graban de manera predeterminada, pero los anfitriones de las llamadas pueden optar por grabarlos y guardarlos en los servidores de Zoom o en sus propias computadoras.
Para grabar el contenido no hace falta tener consentimiento de los participantes, aunque estos reciben una notificación cuando el anfitrión comienza a grabar la sesión.
Zoom dijo en un comunicado publicado por The Washington Post que “proporciona una manera segura para que los hosts almacenen grabaciones” y ofrece guías detalladas sobre cómo mejorar la seguridad de sus reuniones virtuales.
Y añadieron: «En caso de que los anfitriones luego elijan guardar sus grabaciones en cualquier otro lugar, los instamos a que sean extremadamente cautelosos y transparentes con los participantes de la reunión, y que tengan en cuenta si la reunión contiene información confidencial”.
Patrick Jackson, jefe de tecnología de la compañía de software Disconnect y ex investigador de la Agencia de Seguridad Nacional encontró los videos utilizando un motor de búsqueda online y gratuito que escanea espacios de almacenamiento en la nube abierta. En este proceso encontró más de 15 mil clips.
Muchos de los videos se encontraron en fragmentos desprotegidos de espacio de almacenamiento de Amazon, así como publicados en sitios como Vimeo o YouTube.
El gran problema fue que los desarrolladores de Zoom omitieron algunas características básicas de seguridad que sí ofrecen otras plataformas de videochat, como exigir a los usuarios que usen un nombre de archivo único antes de guardar sus propios clips.
Cabe recordar que esta falta de precaución en el diseño de la app se suma a muchas otra vulnerabilidades que se hallaron en el servicio, como que, en Windows, las credenciales de acceso podrían ser fácilmente hackeadas o que en MacOS, se halló una vulnerabilidad de día cero en la cual se especifica que Zoom utiliza una técnica “sombría” para instalar la aplicación de Mac sin interacción del usuario.
FUENTE: Agencias