Apesar das novas medidas de segurança, invasores foram capazes de habilitar funções bloqueadas pelos hosts do evento para realizar ataque
À medida que a plataforma de videoconferência Zoom ganhava popularidade no mundo, e também no Brasil, ela virou foco de hackers que caçam suas vulnerabilidades para criar novas formas de ataque. O número de reclamações subiu junto com as medidas de isolamento social, sendo proibida por várias organizações que temem a segurança dos seus dados durante reuniões e conferências. Embora a maioria das violações tenha esse propósito, no dia 10 de junho, uma conferência realizada pelo Instituto Comunitário Grande Florianópolis (Icom), a qual discutia práticas antirracistas, foi invadida com imagens obscenas, suásticas, decapitação e músicas misóginas. Foram localizados quatro invasores, dos quais, mesmo sendo constantemente bloqueados, conseguiam retomar o controle do áudio e do compartilhamento de telas sem autorização dos hosts do evento.
Após um período conturbado para a plataforma de videoconferências no início da pandemia, no final de abril a plataforma anunciou várias atualizações e mudanças para reforçar sua segurança, que, segundo o comunicado, seria implementada em todo o sistema nos dois meses seguintes.
Em seu blog, a última atualização da plataforma foi anunciada em post do dia 22, após anúncio das medidas em uma webinar no dia 20 de maio. Desde então, Fernando de Falchi, Gerente de Engenharia de Segurança da Check Point Brasil, disse que nenhuma violação como as detectadas anteriormente foram localizadas depois das novas medidas de segurança. “Tirando o início da pandemia, que o Zoom teve aquele boom de usuários – depois das novas medidas – não tiveram reclamações de invasões como essa”, diz em relação às características do ataque sofrido pelo Icom.
Antes, a plataforma dava um ID de reunião e gerava um código do Zoom, com uma sequência de letras. “O pessoal descobriu como esse código era montado e viu que era só trocar umas letras e números e assim conseguiam entrar em qualquer reunião, de qualquer lugar do mundo, sem ser convidado”, explica.
“Eles [Zoom] mudaram a maneira como criavam esse ID da reunião e, além de tudo, colocaram uma senha – é possível compartilhar o link da reunião com essa senha ou pedir para a pessoa digitar a senha para entrar na reunião. Hoje, a pessoa não consegue mais sair chutando números de letras de ID para entrar na reunião”, complementa.
Conforme postagem no blog da Zoom algumas mudanças de segurança incluíam: controle de compartilhamento de tela definido, “para contas únicas do Zoom Pro, o compartilhamento de tela é definido como ‘somente host’, por padrão. Hosts e co-hosts podem conceder acesso a outros participantes no ícone Segurança”; e consentimento para ativação de som, “quando um organizador da reunião silencia um participante, ele não pode mais ativar o som dessa pessoa sem o seu consentimento”.
O link de acesso à web conferência do Icom foi compartilhado publicamente antes do evento, deixando-o mais exposto a ataques direcionados e facilitando a entrada de um ouvinte mal intencionado. Entretanto, segundo a comunicação do Icom, somente Lia Vainer Schucman, doutora em Psicologia Social, professora e ativista antirracista, após solicitação à host, teve a permissão concedida para compartilhamento de tela. Além disso, somente ela e a mediadora, Mariana Assis, guardiã de relacionamento com a sociedade civil organizada do Icom, tinham os microfones habilitados sob autorização dos hosts.
Ainda assim, um dos invasores conseguiu compartilhar os vídeos, enquanto outros dois invadiram o áudio. Uma quarta pessoa aparecia se masturbando ao vivo. Após alguns vazamentos de áudio ao longo da conferência e algumas intervenções de bloqueio do áudio da professora, sem razões identificadas até o momento da invasão. Cerca de uma hora depois do início do evento, os quatro hackers iniciaram, de fato, o ataque criminoso de apologia ao nazismo, racismo e atentado ao pudor.
“A plataforma Zoom, que utilizamos para o encontro que contava com cerca de 70 pessoas, foi invadida, e ocorreu a exibição de um vídeo com imagens violentas, propagando mensagem de ódio, apologia ao nazismo e atentado ao pudor. Racismo e a apologia ao nazismo são crimes. Rapidamente, a equipe do ICOM conseguiu remover perfis envolvidos na ação e retomar o evento, que foi gravado. A invasão com propagação de mensagem criminosa será denunciada formalmente às autoridades responsáveis pela investigação destes casos, assim como à plataforma Zoom”, disse o Icom em nota.
O Zoom, em nota emitida pela sua assessoria de imprensa disse que “condena veementemente esse comportamento” e que, recentemente, atualizou as configurações padrão e adicionaram recursos para ajudar os hosts nos controles de segurança nas reuniões, incluindo: “controle do compartilhamento de tela, a remoção e a geração de relatórios de participantes e o bloqueio de reuniões, entre outras ações”.
“Também instruímos os usuários sobre as práticas recomendadas de segurança para a organização de suas reuniões, incluindo a recomendação de que os usuários evitem compartilhar links e senhas privadas de reuniões publicamente em sites, mídias sociais ou outros fóruns públicos, além de incentivar qualquer pessoa que apresente eventos públicos utilize a solução de webinar da Zoom. Temos o compromisso de manter um ambiente on-line igual, respeitoso e inclusivo para todos os nossos usuários. Levamos as interrupções das reuniões extremamente a sério e, quando apropriado, trabalhamos em estreita colaboração com as autoridades policiais. Incentivamos os usuários a denunciar qualquer incidente desse tipo ao Zoom e às autoridades policiais para que as ações apropriadas possam ser tomadas contra os infratores”, diz a nota.
Falchi lembra que, embora tenhamos uma polícia capacitada para investigações de ciberataques, é muito difícil localizar os criminosos. “Existiu o crime, mas identificar quem fez é realmente é difícil. […] Quando é recorrente fica mais fácil porque a polícia o acompanha até que ele cometa um erro e a seja identificado. A pessoa tem que cometer um erro para ser pego. Levando para o mundo que estamos discutindo, quando ele quer [invadir para] colocar informações para difamar alguém [por exemplo], ele está com aquilo na cabeça e faz a toda hora, e assim vai acabar cometendo um erro”, comenta.
Durante o ataque muitas pessoas saíram rapidamente da sala de conferência com medo do que aquela violência significaria para a privacidade de seus dados. Falchi lembra que como toda ferramenta ligada à internet, nunca estamos cem por cento seguros. “Para ele [invasor] conseguir informação de alguém através de uma reunião do Zoom, só se as pessoas abrirem um link compartilhado. Ele teria que fazer a pessoa ir para algum lugar onde fosse possível ele ter controle”, explica. Embora afirme que não tenha ligação direta – com invasão motivada para roubo de dados – a recomendação serve para todas as situações: troque as senhas por precaução.
