Videokonferenz-Plattform Zoom: Veröffentlichte Login-Daten aus Credential-Stuffing-Angriffen

In einem Statement bestätigt Zoom die Vermutung, dass der Videokonferenzdienst zur Zielscheibe erfolgreicher Credential-Stuffing-Angriffe wurde.

In Pocket speichern vorlesen Druckansicht 47 Kommentare lesen
Zoom: Veröffentlichte Login-Daten stammen wohl aus Credential-Stuffing-Angriffen

(Bild: Evdokimov Maxim/Shutterstock.com)

Lesezeit: 2 Min.

Nachdem das Team der IT-Sicherheitsfirma Cyble hunderttausende Zugangsdatensätze für Zoom-Accounts entdeckt hatte, die seit Anfang April im Darknet und in einschlägigen Untergrundforen kursierten, hat sich der Anbieter des Videokonferenzdienstes nun selbst zu dem Sachverhalt geäußert.

heise Security hatte Zoom im Rahmen der Berichterstattung am gestrigen Dienstag schriftlich um eine Stellungnahme gebeten. In dieser bestätigte das Unternehmen nun indirekt, dass Daten abgegriffen beziehungsweise Accounts kompromittiert wurden – und dass dies wohl mittels Credential Stuffing, also dem automatisierten Durchprobieren von Login-Daten aus älteren Leaks, geschah. Im englischsprachigen Statement heißt es sinngemäß, dass Webservices typischerweise zur Zielscheibe von Angriffen würden, bei denen bereits kompromittierte Credentials an aktuellen Accounts durchgetestet werden:

"It is common for web services that serve consumers to be targeted by this type of activity, which typically involves bad actors testing large numbers of already compromised credentials from other platforms to see if users have reused them elsewhere."

Mehr Infos

dsfdsfds


Mit dieser Aussage unterstreicht der Dienstanbieter noch einmal, dass Credential Stuffing nicht an Zoom-spezifische Sicherheitsmängel geknüpft ist. Zoom betont im Statement außerdem, dass Business-Kunden mit eigenen Single-Sign-On (SSO)-Systemen von solchen Angriffsszenarien im Allgemeinen nicht betroffen seien.

Aus Zooms Statement resultiert die Notwendigkeit, Passwörter, die bereits für andere Accounts genutzt wurden oder werden, umgehend zu ändern. Zur Frage nach einem möglichen Datenleck äußerte sich das Unternehmen nicht. Allerdings erscheint ein klassisches Datenbank-Leck als Einfallstor angesichts im Klartext verfügbarer Passwörter auch als eher unwahrscheinlich.

Das Unternehmen hat offenbar noch weitere Angriffsstrategien beobachtet. Einerseits hat es laut Statement mehrere externe Firmen damit beauftragt, kursierende Zoom-Passwort-Dumps und Tools, mit denen sie erzeugt wurden, aufzuspüren. Andererseits sei es einem weiteren Unternehmen aber auch gelungen, "Tausende von Websites" vom Netz zu nehmen, über die Kriminelle Kunden zur Preisgabe ihrer Anmeldedaten oder zum Download von Malware zu verleiten versuchten.

Man untersuche die Vorfälle weiterhin, deaktiviere als kompromittiert erkannte Accounts, fordere Kunden aktiv zum Passwortwechsel auf ("asking users to change their passwords to something more secure") und erwäge die Implementierung zusätzlicher (Sicherheits-)Technologien. (ovw)