Nadat videoconferentieplatform Zoom enorm onder vuur lag vorig jaar door het gebrek aan security, is het direct gestart met het doorvoeren van verbeteringen. Eén van die verbeteringen is om wachtwoorden op videomeetings te zetten voor een verhoogde privacy en veiligheid. Op papier een goed idee, maar in de prakijk blijkt het de beveiliging niet enorm te verhogen.
Zoombombing is wanneer mensen in een zoommeeting zitten en daarbij wordt ‘ingebroken’ door een troll. Iemand die niet voor de meeting is uitgenodigd begint daarbij anderen uit te schelden of op andere manieren dwars te zitten. Dat is natuurlijk zeer ongewenst en hierbij kan bovendien informatie ter oren komen van mensen die dat niets aangaat. Kortom, het is voor zowel jonge mensen die op het platform komen voor school als voor volwassenen die het zakelijk gebruiken onveilig.
Zoombombing
Om zoombombing tegen te gaan is er een wachtkamer gemaakt waarbij de meeting organisator mensen eerst toegang moet geven. Het is daarnaast mogelijk om meetings van een wachtwoord te voorzien. Er wordt veelvuldig opgeroepen aan mensen om geen meeting-links te delen op fora. Volgens onderzoekers van Boston University blijken die methodes niet uit te gaan van de juiste dreiging. Het blijkt namelijk niet te gaan om mensen van buitenaf die geen meeting details hadden, het blijkt juist te gaan om mensen die volledige toegang hebben gekregen tot de meeting.
De onderzoekers schrijven: “We zien daarnaast gevallen waarin insiders aanvallers instrueren om de namen van legitieme deelnemers in de klas over te nemen om detectie te voorkomen, waardoor tegenmaatregelen zoals het opzetten van een wachtkamer en het doorlichten van deelnemers minder effectief worden. Op basis van deze observaties stellen we dat de enige effectieve verdediging tegen zoombombing het creëren van unieke join-links voor elke deelnemer is.”
Reactie Zoom
Zoom heeft op het onderzoek gereageerd en schrijft: “Zoom veroordeelt dergelijk gedrag ten zeerste. Zoom biedt unieke koppelingsmogelijkheden wanneer registratie van meetings is ingeschakeld. We hebben onlangs ook een aantal standaardinstellingen bijgewerkt en functies toegevoegd om hosts te helpen gemakkelijker toegang te krijgen tot beveiligingscontroles tijdens meetings. Denk aan het beheren van het delen van schermen, het verwijderen en rapporteren van deelnemers en het vergrendelen van meetings, naast andere acties.”
“We hebben gebruikers voorgelicht over de beste practises op het gebied van beveiliging voor het opzetten van hun vergaderingen. Zoals: registratie vereisen, alleen toegang verlenen aan geverifieerde gebruikers en voorkomen dat deelnemers zichzelf een andere naam geven. We moedigen iedereen die grootschalige of openbare evenementen organiseert aan om de webinaroplossing van Zoom te gebruiken. We moedigen gebruikers aan om dit soort incidenten te melden aan Zoom en de wetshandhavingsinstanties, zodat gepaste maatregelen kunnen worden genomen tegen overtreders.”
Het is afwachten of Zoom het advies ter harte neemt en unieke join-links gaat maken. Het doet hierover vooralsnog geen uitspraken.
Tip: Hoe videoplatform Zoom zijn beveiliging op orde heeft gekregen
1 uur geleden
