Les attaquants proposent 500000 et les données des utilisateurs Zoom sur les forums de pirates et darknet
Le spécialiste IntSights a découvert que plus de 500 000 comptes de zoom sont vendus sur darknet et les forums de pirates. Les données incluses dans un compte incluent les informations d’identification de l’utilisateur (e-mail, mots de passe), ainsi que les ID de réunion, les noms d’hôte et les clés. Il s’agissait d’une base de données relativement petite ne contenant qu’environ 2300 enregistrements.
Un chercheur d’IntSights a déclaré: «Une base de données trouvée sur un darknet peut contenir des informations partielles, mais dans d’autres cas, vous pouvez y trouver un ensemble complet de données, y compris un code PIN pour toutes les sessions ouvertes. Ayant accès à l’URL, à l’identifiant et au code PIN, l’attaquant a la possibilité à la fois d’entrer dans la vidéoconférence et d’en prendre le contrôle (et, par exemple, de commencer à retirer des participants juste pour le plaisir) ».
Désormais, Cybersecurity de Cyble était également d’accord avec l’avis d’InSights et a signalé qu’un demi-million d’enregistrements étaient disponibles. Ils ont dit que les informations d’identification qu’ils ont trouvées sont le résultat d’une attaque de type bourrage d’informations d’identification.
Les informations d’identification se réfèrent à une situation typique où les noms d’utilisateur et les mots de passe sont volés sur certains sites, puis utilisés contre d’autres utilisateurs. Autrement dit, les attaquants disposent d’une base de données d’informations d’identification (achetées sur le darknet, collectées indépendamment, etc.) et tentent d’utiliser ces données pour se connecter à tous les sites et services.
Les comptes de trading Zoom ont été signalés le 1er avril 2020. Selon les experts, certains attaquants, dont l’Université du Vermont, l’Université du Colorado, le Dartmouth College et l’Université de Floride, ont donné gratuitement des comptes piratés, essayant ainsi de se faire une réputation dans la communauté des hackers.
En contactant plusieurs victimes de la liste en utilisant les adresses e-mail fournies, il a été confirmé que de tels comptes existent. L’une de ces victimes a déclaré que le mot de passe mentionné était un ancien, donc certaines informations d’identification étaient probablement le résultat d’attaques de bourrage d’informations d’identification plus anciennes.
Remarquant ce trading, les spécialistes de Cyble l’ont contacté et ont accepté d’acheter un grand nombre de comptes pour avertir les utilisateurs des problèmes qui se posent. Ils acquièrent les informations sur environ 530 000 comptes Zoom au coût de 0,0020 $ par compte. Ils ont également pu confirmer l’authentification des données en vérifiant les comptes détenus par les clients de l’entreprise.
Les spécialistes de la sécurité de l’information disent: «Réutiliser les mêmes mots de passe est une mauvaise idée, et nous recommandons aux utilisateurs, qui pratiquent cela, de changer les mots de passe dès que possible»
Les attaquants peuvent se propager en utilisant de faux domaines de zoom. Les employés de Google, SpaceX et NASA refusent déjà cette application à l’heure actuelle. Nous vous recommandons également d’éviter d’utiliser cette application.
