Zoom是一家位於美國加州聖荷西的科技公司，主要業務是提供雲端為主的視訊會議(Cloud Meeting)系統服務。不過前陣子被爆出有資安疑慮之後，不僅Google下令不准使用Zoom之外，就連我們行政院也下令各公務機關與各級學校都要禁用Zoom了！

有人問，有那麼嚴重嗎？確實啊！因為在某些暗網與駭客論壇裡面，就有人在兜售Zoom的帳號了！資安公司發現裡面有不少是摩根大通、花旗銀行，或是一些大學的帳號，您說不嚴重嗎？

暗網便宜賣，甚至免費送

由於暗網與駭客論壇裡面有超過50萬組Zoom帳號被售出，賣價低於一美分(不用新台幣1元)售出，甚至某些情況還免費大相送。這些帳號是透過憑證填充攻擊(credential stuffing attack)的方式取得，也就是以錯誤嘗試登入的方式瞎猜出密碼，在早期Zoom的登入機制還不是很完善時，駭客就是透過這樣的方式成功登入之後，將這些成功的帳號整理成表，再兜售給其他駭客！

由於有些Zoom帳號是免費提供給駭客論壇，讓其他駭客可以使用Zoom-bombing (未受邀請的陌生人突然加入線上會議且大叫，以干擾會議)的惡作劇，或是其他惡意行為，擾亂既有的會議進行。要是會議是屬於NDA類型或是比較機密的會議，那麼就有機敏資料外洩的可能！



資安公司表示，這些免費的Zoom帳戶大約是在2020年4月1日起在駭客論壇上看到的，由於有這些好料！因此也讓這些駭客論壇越來越受矚目！流量開始爆增！除了上述的帳號是免費供應的之外，其他有些帳號則是以不到一美分的價格售出！

由於這些帳戶都是透過文字的方式來分享出去的！那些洩漏帳號者就大喇喇的直接在論壇裡面貼上一堆登入帳號(Email)和密碼。下圖中，就有超過290組帳號是免費提供的，主要都是學院的帳號。如佛蒙特大學、科羅拉多大學、達特茅斯學院、拉斐特大學、佛羅里達大學…等等。這些密碼中，有些是正確的，而有些則是舊密碼，表示當初就是用憑證填充攻擊的方式獲得！ (不過如今應該有不少單位已經更改密碼了，因此這些帳戶可能無法再登入)

資安公司趕快買下，以警告這些用戶趕快改密碼

由於駭客論壇大量拋售這些Zoom帳號，資安公司Cyble一口氣買下大量的帳戶，以便可以用來警告這些用戶們趕快去更改密碼。該公司以一美分買下53萬組帳號，平均一個帳號不到0.0020美元。這些被售出的帳戶，包括受害者的Email、密碼、個人會議URL以及HostKey (主持人鑰匙)。



由於Cyble買下來的Zoom帳戶中，有些也是他們的客戶，他們也確認了這些帳戶有些是有用的，他們也透過聯絡這些客戶趕緊去更改密碼。

趕快更改密碼吧！

由於所有公司都受到這種憑證填充攻擊的影響，且Zoom的密碼可以從電腦、平板或手機登入，因此建議趕快更改密碼，至於個人會議ID必須付費才能更改！要是若怕陌生人突然衝進會議來搗亂的話，可以設定要求輸入會議密碼，才准許進入。此外也可以並預設關閉電腦音訊，或是關閉電話登入，以免收到參與者的雜音。

另外，Cyble也將這次的資安事件，加入其Am I Breached的網站，使用者可以透過輸入自己的Email，來檢查自己的帳戶是否被流出去濫用！