Os clientes pagantes da Zoom poderão escolher a região que desejam usar para suas reuniões virtuais, anunciou a empresa na segunda-feira.

A partir de sábado, os clientes pagantes podem optar por entrar ou sair de uma região específica do datacenter, embora não possam alterar sua região padrão, que para a maioria dos clientes são os Estados Unidos.

O Zoom possui data centers nos EUA, Canadá, Europa, Índia, Austrália, China, América Latina e Japão / Hong Kong.

A decisão foi tomada depois que o Citizen Lab, da Universidade de Toronto, divulgou no início deste mês um relatório que descobriu que o Zoom gerava chaves de criptografia em servidores na China, mesmo que todas as pessoas em uma chamada estivessem localizadas fora do país.

Embora os usuários do serviço gratuito não tenham a opção de ativar ou desativar os clientes pagantes, a Zoom disse que não encaminharia dados de usuários localizados fora da China pelo país.

Evitando servidores não seguros

“As mudanças no roteamento de dados são positivas”, observou Colin Bastable, CEO da Lucy Security , uma empresa de conscientização e treinamento em segurança localizada em Zug, na Suíça.

“Todos esses usuários gratuitos devem ficar felizes por não haver roteamento de dados pela China, e os usuários pagos ficarão felizes com as opções oferecidas”, afirmou ele à TechNewsWorld.

A permissão de roteamento personalizado atrairá algumas empresas que precisam atender aos requisitos de conformidade de seus setores.

“Existem certos padrões governamentais e de segurança cibernética que exigem tráfego nos EUA”, explicou James McQuiggan, advogado de conscientização de segurança da KnowBe4 , um provedor de treinamento de conscientização de segurança localizado em Clearwater, Flórida.

“Para organizações que não desejam aceitar o risco de tráfego saindo dos EUA, isso mitigará e resolverá esse risco”, afirmou ele à TechNewsWorld.

O gerenciamento de um caminho de chamada permite que um planejador de reuniões evite servidores potencialmente inseguros, disse Justin Kezer, consultor de gerenciamento da nVisium , um provedor de segurança de aplicativos baseado em Falls Church, Virgínia.

“Isso limita o risco de alguém ouvir uma chamada ativa por um recurso de segurança de aplicativo ausente, como falta de senha e controles de acesso, ou desviar os dados diretamente de um servidor vulnerável”, disse ele à TechNewsWorld.

No entanto, o roteamento personalizado não soluciona outra falha encontrada pelo Citizen Lab com o Zoom, observou Charles Ragland, engenheiro de segurança da Digital Shadows , de São Francisco , fornecedora de soluções de proteção digital contra riscos.

“Isso não atenua o risco causado pela falta de verdadeira criptografia de ponta a ponta ou de criptografia fraca que foi descoberta pelo Citizen Lab”, disse ele à TechNewsWorld.

Senhas à Venda

A popularidade de Zoom disparou com a disseminação do vírus COVID-19 e o aumento resultante de trabalhadores domésticos. Parece que sua recente popularidade atraiu mais atenção dos hackers.

Informações sobre mais de 500.000 contas Zoom apareceram à venda na Dark Web e em fóruns de hackers, ao preço de um centavo por cada, ou menos, informou a Bleeping Computer na segunda-feira.

Os dados foram compilados através de ataques de preenchimento de credenciais. Os logins de violações de dados anteriores foram tentados no Zoom, e os que funcionaram foram agrupados e vendidos a outros hackers, explicou BC.

“Os criminosos sempre aproveitam a oportunidade para aumentar seu perfil ou permanecer relevantes. Isso seria mais do mesmo”, observou Ragland, da Digital Shadows.

“O zoom é o foco atual do setor de segurança, e muitas discussões foram feitas em torno dele, tornando-o um alvo principal para os criminosos”, explicou ele.

“Há bilhões de credenciais sendo hawked na Dark Web – 500.000 não fazem diferença”, disse Bastable, de Lucy Security. “Obviamente, o perigo é que os usuários estejam usando as mesmas senhas para outros logins, o que sabemos que eles fazem”.

A venda das contas Zoom na Dark Web demonstra o quão ruim é a higiene das senhas, observou Joseph Carson, cientista chefe de segurança da Thycotic , uma provedora de soluções privilegiadas de gerenciamento de contas com sede em Washington DC.

“Quando alguém tem idade e é capaz de se conectar à Internet, deve ser instruído sobre como usar um gerenciador de senhas – ou, para ser sincero, devem ser as configurações padrão em nossos navegadores”, disse ele ao TechNewsWorld.

A venda das contas Zoom “levanta questões para algumas soluções sobre se os usuários devem ou não escolher suas próprias senhas”, disse Carson.

Gerenciamento focado na segurança

Embora o Zoom tenha se encontrado sob a lupa de segurança, ele não deixou cair a bola, afirmou Kezer, da nVisium.

“A Zoom está fazendo um excelente trabalho reagindo às questões de segurança. No entanto, como a maioria das empresas, medidas e testes proativos de segurança teriam evitado essas questões”, afirmou.

“Eles são rápidos em aceitar a vulnerabilidade e imediatamente emitem um patch – é o máximo que podemos pedir a qualquer empresa”, continuou Kezer. “Francamente, estou impressionado que eles tenham envidado todos os seus esforços de desenvolvimento em direção à segurança. Isso é um sinal de uma sólida equipe de gerenciamento voltada para a segurança. Eles agora estão sendo proativos”.

Apesar desses esforços de segurança, há sinais de ansiedade na comunidade Zoom.

Doze por cento dos 4.000 profissionais que responderam a uma pesquisa recente haviam parado de usar o Zoom, incluindo 100% dos profissionais da Tesla. A Blind, uma rede anônima de profissionais com sede em San Francisco, divulgou os resultados na semana passada.

Mais de um terço dos profissionais pesquisados ​​(35,2%) disseram estar preocupados com a possibilidade de suas informações terem sido comprometidas.

“Embora o Zoom tivesse grandes intenções, eles estavam tentando acomodar rapidamente a força de trabalho durante uma pandemia”, escreveu Fiorella Riccobono, autora do Blind Workplace Insights. “Esse rápido crescimento deixou as vulnerabilidades da plataforma expostas”.

No entanto, algumas empresas estão confortáveis ​​com o Zoom.

“Como empresa de segurança, usamos o Zoom todos os dias”, disse Ameesh Divatia, CEO da Baffle , uma empresa de proteção de dados em São Francisco.

“Estamos confortáveis ​​com isso porque garantimos que nossos usuários sejam instruídos sobre como marcar reuniões e que eles saibam quem está participando”, disse ele à TechNewsWorld.

Um recurso que o Baffle não usa é a senha dos participantes da reunião. Ele usa o recurso “sala de espera”. Os participantes da reunião permanecem em uma sala de espera virtual até que o organizador da reunião os limpe. Dessa forma, o organizador não precisa se preocupar com o comprometimento da senha de um participante e com a parte indesejada de interromper a reunião.

Esse recurso também tem seus problemas.

“Durante nossa análise, também identificamos um problema de segurança com o recurso Waiting Room do Zoom“, afirma o relatório do Citizen Lab sobre o Zoom. “Avaliando que o problema representava um risco para os usuários, iniciamos um processo responsável de divulgação de vulnerabilidades com o Zoom. No momento, não estamos fornecendo informações públicas sobre o problema para evitar que sejam abusadas. Pretendemos publicar detalhes da vulnerabilidade assim que o Zoom tiver teve a chance de resolver o problema.