WFH期間,不少人會使用Zoom視像會議工具,不過Zoom一直被指存有多個漏洞,可讓黑客非法進入會議竊聽機密,而其中一個可被利用的漏洞,就屬於「暴力破解」,有心人只要租用雲計算服務,就可在數分鐘內會議的密碼!
Zoom出事的原因,在於其登入密碼僅是一組6位數字,而且系統未有為輸入次數設限,換言之只要黑客有任何視像會議的連結,就可以寫程式逐一測試密碼組合,由於組合只得100萬個,再加上現時雲計算租賃方便,黑客投入極少成本,就可在幾分鐘內試出密碼,可說相當危險。不過,專家通報Zoom後,Zoom已即時封鎖漏洞,所以用家毋須再擔心登入密碼會被暴力破解。
類似的個案,上年亦發生在Instagram之上,當時有安全專家指出,雖然Instagram設有雙重因素驗證(Two Factor Authentication)關卡,但由於發出的驗證碼有效時間長達10分鐘,而且同樣不設輸入次數限制,所以只要有足夠的雲計算效能,就可以在10分鐘,試出這個6位數的2FA驗證碼,100%可破解任何帳戶。現時漏洞已經被堵塞,Facebook亦回報三萬美元獎金,鼓勵更多專家發掘潛在漏洞。
