Hacker haben Login-Daten für den in Corona-Zeiten boomenden Videokonferenzdienst Zoom erbeutet – auf welche Weise ist noch unklar, schreibt «heise online«.
Mitarbeiter der IT-Sicherheitsfirma Cyble wollen im Darknet und in einschlägigen Untergrundforen mehrere hunderttausend Zugangsdatensätze für den Videokonferenzdienst Zoom entdeckt haben. Die aus E-Mail-Adresse, Passwort im Klartext sowie (mindestens teilweise) aus Meeting-URL und sechsstelligem Zoom-Host-Key bestehenden Datensätze wurden demnach für weniger als einen US-Cent pro Stück gebündelt zum Kauf angeboten. In einigen Fällen hätten die Kriminellen sie auch kostenlos online gestellt. Erste Verkaufsaktivitäten will Cyble Anfang April beobachtet haben.
Aus einem Artikel auf der IT-News-Website Bleeping Computer, deren Team mit den Forschern von Cyble sprach, geht hervor, dass Cyble mehr als 530’000 gestohlene Zoom-Accounts à 0,0020 US-Cent als «Komplettpaket» kaufte, um seine Kunden vor der potenziellen Gefahr warnen zu können. Das Unternehmen habe die Echtheit der gekauften Daten validiert. Das Bleeping-Computer-Team überprüfte und bestätigte manuell die Echtheit einer kleinen Teilmenge aus hunderttausenden weiteren Datensätzen.
Datenleck, Credential Stuffing oder …?
Zoom machte in der Vergangenheit schon mehrfach durch Sicherheitsmängel von sich reden. Deshalb scheint der Gedanke an ein grosses Datenleck naheliegend. Unter anderem blockiert Google seit einigen Tagen die Software auf den Computern seiner Mitarbeiter, nachdem diverse Sicherheitslücken und Datenschutz-Probleme bekannt wurden.
Bislang hat Zoom aber nichts über ein Datenleck verlauten lassen. Die im Klartext vorliegenden Passwörter lassen die Theorie eines klassischen Leaks eher unwahrscheinlich erscheinen. Bleeping Computer will einen Anhaltspunkt für «Credential Stuffing», also das automatisierte Durchprobieren von Login-Daten aus älteren Leaks, entdeckt haben. Ein vom Bleeping-Team kontaktierter Nutzer habe berichtet, dass es sich bei seinem vermeintlichen Zoom-Passwort in den Datensätzen um ein altes, inzwischen geändertes gehandelt habe. Daraus schliesst das Team, dass zumindest einige der Daten aus Credential-Stuffing-Angriffen stammen.
Einem Credential-Stuffing-Angriff kann jeder Dienst unverschuldet zum Opfer fallen, sofern zusätzliche Authentifizierungsmechanismen fehlen. War Credential Stuffing tatsächlich der Angriffsvektor, ist eine Passwortänderung dann notwendig, wenn man dasselbe Passwort für andere Dienste beziehungsweise Accounts verwendet hat. Bei Zoom ist es wohl auch ratsam, eine Passwortänderung in jedem Fall vorzunehmen, auch unabhängig von solchen Überlegungen.
Quelle: heise.de
