นักวิจัยความปลอดภัยชื่อผู้ใช้ @s3c บน Medium รายงานถึงช่องโหว่ Zoom ที่มีช่องโหว่ในระบบยืนยันความเป็นเจ้าของอีเมล ทำให้แฮกเกอร์สามารถเข้าสวมรอยบัญชีผู้ใช้ใดๆ ก็ได้ในระบบ

ช่องโหว่นี้อยู่ในส่วนการล็อกอินด้วยเฟซบุ๊กที่บางกรณีผู้ใช้เฟซบุ๊กไม่มีอีเมล ทำให้ Zoom ขอให้ลงทะเบียนอีเมลเพิ่มเติม อย่างไรก็ดี URL บนหน้าส่งอีเมลนั้นมีอาร์กิวเมนต์ code ระบุอยู่ และ @s3c พบว่าอาร์กิวเมนต์นี้เป็นรหัสยืนยันสำหรับลิงก์ยืนยันความเป็นเจ้าของอีเมล

ความผิดพลาดร้ายแรงเช่นนี้ทำให้ใครสามารถยืนยันความเป็นเจ้าของอีเมลใดๆ ก็ได้ โดยไม่ต้องอ่านอีเมลได้จริงๆ และเมื่อยืนยันอีเมลในระบบแล้ว Zoom จะผูกบัญชีเจ้าของอีเมลเดิมเข้ากับบัญชีที่ล็อกอินด้วยเฟซบุ๊กที่สร้างขึ้นใหม่โดยอัตโนมัติ

ความร้ายแรงของช่องโหว่นี้คือเหยื่อสามารถถูกสวมรอยเข้าไปประชุมแทน ผู้ร้ายอ่านข้อมูลเก่าเช่นข้อความแชตหรือไฟล์ต่างๆ ได้

@s3c ระบุว่า Zoom ใช้เวลาสองวันในการแก้ช่องโหว่หลังจากได้รับแจ้งในวันที่ 30 มีนาคมที่ผ่านมา และเขาได้รับเงินรางวัล 3,000 ดอลลาร์พร้อมของที่ระลึก โดยเขายืนยันว่าไม่มีระบบใดปลอดภัย 100% และการทดสอบนี้เขาทดสอบด้วยบัญชีของตนเองเท่านั้น

ที่มา - Medium: @s3c