Zoom又被爆出可能会被黑客利用的漏洞 可被用来诈骗公司员工交出数据
近日最受关注的互联网安全事件莫过于 Twitter 被黑客入侵了,Twitter 对外公布的调查结果是黑客通过入侵一位公司雇员的设备,从而在 Twitter 内网控制了诸如名人、公司等认账账号。
今天,在线视频会议软件 Zoom 也爆出了可以被黑客用来伪造公司页面诈骗员工数据的漏洞,一旦公司员工的工作账号数据被黑客掌握,那么公司的客户数据也会陷入一种危险的境地。
此漏洞来源于 Zoom 内置的自定义 URL 功能,该功能可以让公司创建一个属于自己的 Zoom 会议链接格式。比如有一个公司叫做“AoliGei”,那么它可以使用此功能生成一个专用的 Zoom 链接(AoLiGei.zoom.us),该公司在使用 Zoom 开会的时候,所获取的会议链接不同于普通的 Zoom 会议连接(zoom.us/j/#####),而是带有公司名称的链接(AoLiGei.zoom.us/j/#####)。
此问题在于公司的任何人在使用 Zoom 开会的时候都可以生成一个这样的链接,因此这可以被黑客入侵一个公司员工的 Zoom 账号后,使用与公司名称相似的域名(比如 AoLiGei.zoom.us/j/#####被伪造成 AoLlGei.zoom.us/j/#####),将所有人都带到另一个会议页面,然后所有人就都在这个伪造页面输入了他们各自的账户信息。
考虑到并非仅有公司内部员工可以参与该会议,如果外部客户也参与的话,那么他们的信息也会被泄露,这样连锁反应可以说是一种极大的隐患。
目前 Zoom 暂未对此报道做出回应。