La compañía anunció el lunes que los clientes de pago de Zoom podrán elegir el área que desean usar para las reuniones virtuales.
A partir del sábado, los clientes de pago podrán optar por entrar o salir de regiones específicas del centro de datos, aunque no podrán cambiar su región predeterminada, que para la mayoría de los clientes es EE. UU.
Zoom tiene centros de datos en EE. UU., Canadá, Europa, India, Australia, China, América Latina y Japón/Hong Kong.
El movimiento fue descubierto en un informe publicado a principios de este mes por Citizen Lab en la Universidad de Toronto, que encontró que Zoom había generado claves de cifrado en servidores en China, a pesar de que todas las personas que llamaban estaban ubicadas en el extranjero.
Si bien los usuarios del servicio gratuito no tienen una opción de suscripción o exclusión voluntaria para los clientes que pagan, Zoom dijo que no enrutará los datos de ningún usuario ubicado fuera de China a China.
Tabla de Contenidos
Evita servidores inseguros
«El cambio en el enrutamiento de datos es positivo», dijo Colin Bastable, CEO lucy segurauna empresa de formación y concienciación sobre seguridad con sede en Zug, Suiza.
«Todos estos usuarios gratuitos deberían estar contentos de que no se envíen datos a través de China, mientras que los usuarios que pagan estarán contentos con las opciones ofrecidas», dijo a TechNewsWorld.
Permitir el enrutamiento personalizado atraerá a algunas empresas que deben cumplir con los requisitos de cumplimiento de la industria.
«Ciertos estándares gubernamentales y de seguridad cibernética requieren que el tráfico permanezca dentro de los Estados Unidos», explica James McQuiggan, un defensor de la conciencia de seguridad estadounidense. SaberBe4un proveedor de capacitación en concientización sobre seguridad con sede en Clearwater, FL.
«Para las organizaciones que no quieren aceptar el riesgo de que el tráfico salga de los EE. UU., esto mitigará y abordará ese riesgo», dijo a TechNewsWorld.
La gestión del enrutamiento de llamadas permite a los planificadores de reuniones evitar servidores potencialmente inseguros, afirma Justin Kezer, consultor de gestión n Visiumun proveedor de seguridad de aplicaciones con sede en Falls Church, Virginia.
«Esto limita el riesgo de que alguien escuche llamadas activas debido a la falta de funciones de seguridad de la aplicación, como la falta de contraseñas y controles de acceso, o el robo de datos directamente de servidores vulnerables», dijo a TechNewsWorld.
Sin embargo, el ingeniero de seguridad con sede en San Francisco, Charles Ragland, señaló que el enrutamiento personalizado no soluciona otra falla que Citizen Lab encontró en Zoom. sombra digitalProveedor de soluciones de protección de riesgos digitales.
«Esto no mitiga los riesgos que Citizen Lab descubrió que plantea la falta de un verdadero cifrado de extremo a extremo o un cifrado débil», dijo a TechNewsWorld.
Vender contraseñas
La popularidad de Zoom se ha disparado a medida que se propaga el virus COVID-19 y el consiguiente aumento de trabajadores a domicilio. Su nueva popularidad parece haber atraído más la atención de los piratas informáticos.
La información de más de 500,000 cuentas de Zoom apareció en la web oscura y foros de piratas informáticos a la venta por un centavo o menos cada una, informó Bleeping Computer el lunes.
Estos datos se compilan a través de un ataque de relleno de credenciales. BC explicó que los inicios de sesión de violaciones de datos anteriores se intentaron en Zoom, y los inicios de sesión válidos se agruparon y vendieron a otros piratas informáticos.
«Los delincuentes siempre aprovecharán la oportunidad para mejorar su perfil o seguir siendo relevantes. Será más de lo mismo». sombra digital—observó Ragland—.
«Zoom es el enfoque actual de la industria de la seguridad, y hay mucha discusión en profundidad al respecto, lo que lo convierte en un objetivo principal para los delincuentes», explicó.
«Hay miles de millones de credenciales que se promocionan en la web oscura: 500 000 no hacen ninguna diferencia», dijo Bastable de Lucy Security. «El peligro, por supuesto, es que los usuarios usen la misma contraseña para otros inicios de sesión, y sabemos que lo hacen».
El científico jefe de seguridad, Joseph Carson, dijo que la venta de cuentas de Zoom en la web oscura muestra cuán mala es la higiene de las contraseñas. timosinaun proveedor de soluciones de administración de cuentas privilegiadas con sede en Washington, DC.
«Una vez que alguien es adulto y puede conectarse a Internet, debe recibir educación sobre cómo usar un administrador de contraseñas o, seamos honestos, debería ser el predeterminado en nuestros navegadores», dijo a TechNewsWorld.
La venta de las cuentas de Zoom «plantea algunas preguntas sobre si debería haber una solución para permitir que los usuarios elijan sus propias contraseñas», dijo Carson.
Gestión de conciencia de seguridad
Aunque Zoom se encontró bajo una lupa de seguridad, no dejó caer la pelota, manteniendo n Visiumde Káiser.
«Zoom ha hecho un excelente trabajo al lidiar con los problemas de seguridad. Sin embargo, como la mayoría de las empresas, las medidas y pruebas de seguridad proactivas pueden prevenir estos problemas», dijo.
«Aceptaron rápidamente la vulnerabilidad y emitieron un parche de inmediato, lo más alto que podemos pedir a cualquier empresa», continuó Kezer. «Estoy francamente impresionado de que pongan todos sus esfuerzos de desarrollo en la seguridad. Ese es el sello distintivo de un equipo de gestión consciente de la seguridad. Ahora están siendo proactivos».
A pesar de estas medidas de seguridad, hay signos de ansiedad en la comunidad de Zoom.
De los 4.000 profesionales que respondieron a una encuesta reciente, el 12 % ha dejado de usar Zoom, incluido el 100 % de los profesionales de Tesla. Blind, una red laboral anónima con sede en San Francisco, publicó sus resultados la semana pasada.
Más de un tercio de los profesionales encuestados (35,2 %) dijeron que les preocupaba que su información pudiera verse comprometida.
«A pesar de las buenas intenciones, Zoom ha intentado adaptar la fuerza laboral rápidamente durante la pandemia”, escribió Fiorella Riccobono, autora de Blind Workplace Insights. «Este rápido crecimiento ha expuesto las vulnerabilidades de la plataforma”.
Sin embargo, algunas empresas se sienten cómodas con Zoom.
«Como empresa de seguridad, usamos Zoom todos los días», dijo el director ejecutivo de Zoom, Ameesh Divatia. deflectoruna firma de protección de datos en San Francisco.
«Estamos contentos con eso porque nos aseguramos de que nuestros usuarios estén informados sobre cómo organizar reuniones y nos aseguramos de que sepan quién está participando», dijo a TechNewsWorld.
Una característica que Baffle no usa son las contraseñas para los participantes de la reunión. Utiliza la función de «sala de espera». Los participantes de la reunión permanecerán en la sala de espera virtual hasta que el organizador de la reunión los autorice. De esta manera, los organizadores no tienen que preocuparse de que las contraseñas de los participantes se vean comprometidas y de que una persona no deseada sabotee la reunión.
Esta característica también tiene sus problemas.
“Durante nuestro análisis, también identificamos problemas de seguridad con la función de sala de espera de Zoom”, afirma el informe de Citizen Lab sobre Zoom. «Al evaluar el riesgo que presenta este problema para los usuarios, hemos iniciado un proceso responsable de divulgación de vulnerabilidades con Zoom. Actualmente no estamos brindando información pública sobre este problema para evitar su uso indebido. Una vez que Zoom tenga la oportunidad de abordar este problema, tenemos la intención de publicar detalles de la vulnerabilidad».