05.08.2020 • Zoom Passwörter geknackt


Tom Anthony (Hobby-Security-Forscher) deckte eine Sicherheitslücke bei den Zoom-Meeting Passwörter auf. Kennt man die ID eines Zoom-Meetings so war es relativ einfach dieses zu knacken und somit unerlaubt an einem Meeting teilzunehmen. Die Passwörter der Zoom-Meeting bestehen lediglich aus 6 Ziffern, somit gibt es 1 Million Möglichkeiten, diese ließen sich durch das Fehlen einer Begrenzung der Zugriffsversuche via HTTP über den Web-Client durchprobieren. Mit Hilfe eines Cloud-Servers ließ sich dies durch Tom Anthony recht einfach innert einer Minute bewerkstelligen, und somit das Passwort geknackt.

Zoom reagierte sehr prompt auf die Hinweise von Tom Anthony und setzten ein Rate Limiting (beschränkt Anzahl der unautorisierten Zugriffe). Des Weiteren wurden Standard-Passwörter geändert, somit wird nun eine Kombination von Zahlen und Buchstaben verlang, welches die Zahl der Möglichkeiten stark erhöht.

Ihr Erfolg. Unsere Motivation.