Como muitos professores, Karen Wilson (nome fictício ) dava aulas on-line na faculdade pela primeira vez no final de março, uma vez que o surto de COVID-19 deixara de lado as aulas presenciais. Ela estava usando a plataforma de videoconferência Zoom para sua apresentação.
“Dez minutos depois do início da minha aula, comecei a ouvir risos e gargalhadas. Então, uma voz entra na sala de aula perguntando: 'Que aula é essa?'”, Ela disse por e-mail. Quando Wilson perguntou o que estava acontecendo, "algumas garotas responderam em uníssono que deveriam estar em uma aula online do colégio e ficaram confusas. Fizeram algumas perguntas e saíram imediatamente".
Mas as coisas estavam apenas começando.
“Algum tempo depois, outra pessoa anônima, desta vez um homem, começou a comentar sobre fumar maconha e o tipo de erva daninha que havia encontrado na semana passada. Apenas o áudio foi ouvido e ele não foi visto. Pedi que ele se identificasse . Quando ele não quis, pedi-lhe que fosse embora, o que, felizmente, ele o fez prontamente. "
Ela diz que, por ser novata no Zoom, a experiência foi confusa e desorientadora.
“Eu não tinha certeza de onde o áudio estava vindo e pensei que poderia ser um ruído de fundo de um dos meus alunos”, diz ela. "Se eu estivesse mais familiarizado com o Zoom, teria silenciado imediatamente o áudio de todos, mas era um novato ao usá-lo online. Nunca pensei que outras pessoas pudessem obter o número do Zoom e 'entrar' em uma sala de aula."
Wilson acabara de ser bombardeado com o Zoom. Zoom bombing é uma abreviatura para quando estranhos se intrometem nas reuniões de outras pessoas no Zoom . Às vezes, essas pessoas podem apenas ouvir sem ninguém saber que eles estão lá. Outras vezes, eles interrompem totalmente as reuniões de maneiras tolas ou mesmo ameaçadoras.
No final das contas, Wilson teve sorte. Outras vítimas do bombardeio Zoom foram submetidas a discurso de ódio, palavrões, ameaças e imagens pornográficas.
Mas como alguém poderia simplesmente "entrar" em uma reunião privada?
"O bombardeio de zoom nada mais é do que enumerar diferentes combinações de URL no navegador", diz Dan Desko, especialista em segurança cibernética da firma de contabilidade Schneider Downs, em Columbus, Ohio.
Ele dá um exemplo: Para encontrar uma reunião Zoom, você insere o URL Zoom.us/ mais uma sequência de números, que serve como o número de identificação da reunião (por exemplo, https://zoom.us/j/55555523222).
“O problema surge quando as pessoas não têm suas reuniões protegidas por senhas e, apenas ao mudar alguns números, você pode ter sorte e entrar repentinamente na reunião de outra pessoa, diz ele. “Agora, obviamente, você teria que fazer isso no momento certo [quando] a reunião estiver ocorrendo", acrescenta ele.
Apenas para testar a falha, ele mesmo tentou. Em apenas um minuto ou mais, ele encontrou uma identificação de reunião legítima - mas a reunião não estava acontecendo naquele momento específico. “Tecnicamente é como escutar ou ser capaz de espionar alguém”, diz Desko.
Mas por que o Zoom teria essa falha específica? Ele foi exposto em parte porque o Zoom explodiu em popularidade exponencialmente durante a pandemia do coronavírus, passando de 10 milhões de usuários diários em dezembro de 2019 para 200 milhões de usuários diários em março. A empresa simplesmente não estava preparada para a correria de gente querendo usá-la para aulas, reuniões e happy hours virtuais com amigos.
"O Zoom é principalmente uma ferramenta de colaboração corporativa que permite que as pessoas colaborem sem obstáculos. Ao contrário das plataformas de mídia social, não era um serviço que tinha que projetar maneiras de gerenciar o mau comportamento dos usuários - até agora", diz David Tuffley, um palestrante em Ética Aplicada e Estudos SocioTécnicos na Griffith University na Austrália, em uma entrevista por e-mail. "A base de usuários deles cresceu enormemente e é provável que haja mau comportamento."
O aumento repentino do tráfego também expôs outras falhas de segurança , como contas dark web e falta de criptografia. O FBI divulgou um alerta sobre o bombardeio do Zoom em 30 de março. Algumas organizações optaram por proibir o Zoom. O Google não permite que seus funcionários o usem em seus laptops. É tudo precipitação, porque o Zoom não conseguiu resolver suas falhas com rapidez suficiente, diz Desko.
“Em segurança da informação e cibersegurança, falamos sobre três coisas: Falamos sobre confidencialidade, integridade e disponibilidade”, diz Desko. As pessoas desejam manter suas reuniões (especialmente em negócios) extremamente confidenciais.
Além disso, diz ele, o Citizen Lab da Universidade de Toronto "mostrou que a tecnologia de criptografia que o Zoom pretendia usar não era tão forte quanto eles dizem [era]. Eles estão, na verdade, usando uma tecnologia de criptografia bastante quebrável. "
É algo, diz ele, que levará meses para consertar. (Embora o Zoom tenha corrigido algumas falhas de segurança , em agosto de 2020 ainda havia relatos de bombardeios de zoom.)
E quanto à integridade?
À medida que a Zoom expandiu sua capacidade de servidor, ela começou a usar servidores baseados na China, com funcionários chineses. “Há muitas pessoas questionando a confidencialidade das ferramentas”, diz Desko. Essa é uma das razões pelas quais o Senado dos EUA pediu aos membros que se abstivessem de usar o Zoom. O Pentágono também fez o mesmo em 10 de abril.
Parando o bombardeio de zoom
Desde que o bombardeio do Zoom se tornou um problema, o Zoom mudou suas configurações padrão para que cada reunião receba automaticamente uma senha exigida para entrar nela; além disso, o recurso "sala de espera" agora é ativado automaticamente quando você marca uma reunião. Isso evita que os usuários entrem em uma chamada antes de serem selecionados por você, o host. Finalmente, o código de ID da reunião não é mostrado na barra de título durante uma reunião Zoom.
Desko acredita que essas medidas contribuirão muito para impedir o bombardeio do Zoom. “É bom manter a ID da reunião privada para que as pessoas não possam associá-la a você ou à sua empresa”, diz ele. "Ou, se você for uma pessoa de destaque como Boris Johnson, compartilhar seu ID de reunião [como ele fez em um tweet como parte de uma captura de tela do Zoom em 31 de março] foi como compartilhar o endereço da caverna de morcegos. Mesmo que a caverna de morcegos seja seguro, agora é um alvo específico. A senha é a chave para manter a reunião segura. "
Ele acrescenta que "Se você deseja estar super-seguro, deve alterar sua ID de reunião a cada chamada e senha também. Há uma configuração para gerar uma nova ID de reunião automaticamente e você também pode definir a senha pessoalmente."
No mínimo, certifique-se de que os novos recursos de segurança do Zoom foram realmente habilitados nas reuniões que você está configurando.
“Se você já tiver uma reunião [recorrente] configurada que usasse o padrão antigo, será necessário voltar ao Zoom e atualizá-la", diz Desko. "Isso é fácil de fazer."
Outra maneira de evitar que estranhos sequestrem sua reunião é tornar a opção "compartilhar tela" disponível apenas para o organizador. Você também pode silenciar os microfones de todos, exceto o host ou o palestrante, e bloquear a reunião quando todos estiverem participando para evitar invasões. Esses recursos podem ser feitos na barra de ferramentas Zoom. E, finalmente, não poste um link público para sua reunião que pode convidar pessoas indesejadas a tentarem entrar.
AGORA ISSO É INTERESSANTE
O Zoom tem suportado uma quantidade incrível de críticas negativas por suas deficiências durante a pandemia. Mas outras ferramentas de conferência (como Skype, Webex e Google Hangout) também têm problemas de segurança - então, não importa qual software você escolher, não faça suposições sobre a privacidade de suas reuniões online. Use algumas das mesmas dicas que fornecemos para o Zoom para tornar seus outros tipos de reuniões virtuais seguros.
Publicado originalmente: 14 de abril de 2020
