Zoom in poche settimane è passata, a causa dello smart working imposto dalla pandemia in corso, dal semi-anonimato al successo planetario è sicuramente Zoom: da 10 a 200 milioni di utenti attivi giornalieri in appena tre , ma si è trovata totalmente impreparata per quanto riguarda la sicurezza e privacy.
Nei primi giorni di Aprile , l’azienda di cybersicurezza Cyble ha scovato nel Dark Web un database contenente le credenziali di accesso a mezzo milione di account Zoom. Erano in vendita a meno di un centesimo di dollaro per account, alcuni addirittura a 0,002 dollari. Per ogni account erano disponibili l’indirizzo e-mail del titolare, la password dell’account Zoom, la URL usata per le videochiamate e la rispettiva host key. Quanto basta a chiunque, per fare “zoombombing“, cioè entrare nelle videochiamate degli altri per disturbare in ogni modo possibile: dal pronunciare volgarità al trasmettere materiale pornografico. Proteggere il proprio account Zoom, quindi, è ormai fondamentale.
Come sapere se il nostro account Zoom è stato violato
Il primo passo da fare, per proteggere un account Zoom, è sapere se è già stato rubato da qualcuno. Un primo check si può fare testando la e-mail usata per accedervi su un sito come Have I Been Pwned o pwdquery: entrambi controllano se un indirizzo e-mail è già presente in qualche database contenente credenziali rubate. In tal caso, è meglio aggiornare subito le password dei vari account collegati a quell’indirizzo e-mail (non solo quello di Zoom) e impostare ove possibile l’autenticazione a due fattori. Se l’e-mail usata su Zoom è la stessa che usiamo su altri account (cosa che non andrebbe mai fatta), è bene aggiornare lo stesso la password anche se non è già stata rubata.
Come proteggere l’account Zoom
A questo punto possiamo entrare in Zoom e settare al meglio le opzioni relative alla sicurezza per blindare, per quanto possibile, il nostro account. I parametri da modificare subito sono due: il Personal meeting ID (PMI) e la host key. Il PMI viene assegnato automaticamente da Zoom alla creazione dell’account, ma può essere modificato se abbiamo un account a pagamento Pro o Corp. La host key, invece, è un PIN di 6 cifre che serve per prendere il controllo del meeting. La host key non è relativa al singolo meeting, ma all’host (cioè a chi “dirige” il meeting). Per questo conoscere la host key permette ad un hacker di prendere il controllo delle videochiamate degli altri. È possibile cambiare la host key solo sugli account di tipo Pro, Business, Enterprise ed Education.