Microsoft Office 365
Computeropleidingen &

Consultancy

Nieuws en persberichten

Zoom Cloud Meetings

Negatieve ervaringen met Zoom Cloud Meetings vaak veroorzaakt door onvoldoende kennis

In een eerder artikel dat wij publiceerden over het gebruik van Zoom Cloud Meetings gaven wij aan dat organisaties vaak te snel de software in gebruik nemen, zonder zich te verdiepen in de functionaliteit van de software. Het gevolg hiervan kunnen we regelmatig lezen in de pers, waarbij de Zoom software vaak als gebeten hond, t.a.v. “privacy en security” genoemd wordt. Recentelijk nog hebben wij kunnen lezen hoe de raadsvergadering van de gemeenteraad West-Betuwe ruw verstoord werd door z.g. "hackers".

In dit artikel noemen wij een aantal Nederlands persberichten, waarin Zoom wordt afgedaan als software met een groot veiligheidsrisico. Aan elk persbericht voegen wij ons “advies” toe hoe het betreffende “veiligheidsrisico” op een eenvoudige wijze voorkomen had kunnen worden.

Porno tijdens online les van Zoetermeerse school

Bron: Omroepwest d.d. 8 april 2020

ZOETERMEER - Leerlingen van een klas van het Zoetermeerse Erasmus College hebben woensdagochtend, tijdens een les via de video-app Zoom, pornobeelden te zien gekregen. De school is onmiddellijk gestopt met het gebruik van Zoom.

Alvorens het beveiligingsprobleem aan Zoom toe te schrijven is het aannemelijker dat in dit geval het benodigde Meeting ID gedeeld is aan derden. Organisaties vinden het vaak gemakkelijker om steeds hetzelfde Meeting ID in Zoom te gebruiken in plaats voor elke nieuwe vergadering een unieke Meeting ID te genereren. In sommige gevallen wordt het Meeting ID zelfs op het Intranet of Internet geplaatst om de deelnemers te informeren hoe ze deel kunnen nemen aan een Zoom vergadering. 

De Meeting ID in Zoom is de sleutel om deel te nemen aan een Zoom vergadering, hoe meer mensen deze “sleutel” in het bezit hebben, des te groter de kans dat ongenodigde personen toetreden tot de online vergadering.

Advies

Ons advies luidt om Zoom Cloud Meetings, voor elke online vergadering, altijd een uniek MeetingID in combinatie met een Wachtwoord te genereren. Maak gebruik van de mogelijkheid in Zoom om de deelnemers eerst in een Wachtkamer te plaatsen. De voorzitter (host) kan dan zelf bepalen welke deelnemers toegang krijgen tot de vergadering, zodat ongenodigde gasten buiten de vergadering blijven. Wanneer alle deelnemers aanwezig zijn bij een online vergadering, zet dan de vergadering op slot, zodat ongenodigde personen niet kunnen deelnemen aan de vergadering.

Videogesprek-app Zoom deelt stiekem je gegevens met Facebook

Bron: RTLZ d.d. 27 maart 2020

Zoom gebruikt Facebooks Software Development Kits (SDK's). Wanneer de Zoom app gedownload wordt, begint het meteen gegevens te delen met Facebook.

Dit probleem is reeds door Zoom opgelost in de software.

Advies

Zorg er altijd voor dat de laatste Zoom app gebruikt wordt. Wekelijks worden nu nieuwe versies van de software uitgebracht waarin beveiligingsproblemen opgelost zijn. Het is dan ook belangrijk om altijd met de laatste software te werken.

Inloggegevens van half miljoen Zoom-accounts aangeboden op dark web

Bron: Techzine 14 april 2020

Op het dark web worden de inloggegevens van ruim 500.000 Zoom-accounts te koop aangeboden, zo blijkt uit onderzoek van cybersecurityfirma Cyble. Het zou gaan om e-mailadressen, wachtwoorden en meeting-ID’s van de videoconferencing-app.

Volgens onderzoek bleek dat deze inloggegevens al in 2013 bij een andere hack waren buitgemaakt. Omdat mensen nu eenmaal de voorkeur hebben om steeds hetzelfde email adres en wachtwoord te gebruiken kon een deel van de inloggegevens daadwerkelijk gebruikt worden om in te loggen op Zoom accounts. Zoom valt in dit geval niets te verwijten

Advies

Gebruik altijd unieke wachtwoorden voor online accounts die worden gebruikt. Het heeft de voorkeur om gebruik te maken van Two-Factor Identificatie (2FA), zodat bij het inloggen op het Zoom account naast alleen het wachtwoord ook een unieke cijfercombinatie moet worden ingevoerd, die via een mobiele telefoon gegenereerd moet worden.

Zoom 5.0 update

Op het moment van schrijven van dit artikel is versie 5.0 van de Zoom online vergader app beschikbaar. Deze versie beschikt over een aantal belangrijke veiligheidsopties. De twee belangrijkste nieuwe mogelijkheden die opvallen in deze nieuwe versie zijn:

AES 256-bit GCM encryptie

Met de implementatie van AES 256-bit GCM encryptie is een volgende stap is gezet naar een betere bescherming van de videoverbinding.

Enhanced data center information

Via het online “beheer portal” van Zoom kan nu door de organisator bepaald via welke landen het dataverkeer van de online vergadering mag lopen. Zo kunnen landen als China en Hongkong op een eenvoudige manier worden uitgesloten.

Conclusie

Mensen blijken vaak de zwakste schakel te zijn bij het gebruik van de computer waardoor in sommige gevallen, door het aanklikken van een onschuldig lijkend email bericht alle bestanden van een organisatie “gegijzeld” kunnen worden via ransomware.

Ook bij het gebruik van online vergadersoftware zoals Zoom blijkt dat logische stappen om de software veiliger te gebruiken, zoals een het genereren van unieke sleutels en het gebruik van wachtkamers, niet altijd genomen worden. Door de functies, die de software biedt, niet te gebruiken wordt de mogelijkheid om in te breken op een online Zoom vergadering aanmerking vergroot.