Diversos casos de invasão a videoconferências no aplicativo Zoom ganharam as manchetes nesta semana. Num deles, o pré-candidato a vereador em São Paulo William De Lucca denunciou que teve uma reunião sua invadida. Segundo a denúncia, os hackers atacaram com discurso de ódio e ainda compartilharam conteúdo de pornografia infantil.
Esses incidentes alertam que o risco do Zoombombing – trolls que interrompem as reuniões com conteúdo ofensivo – continuam, apesar das atualizações anunciadas em junho pela empresa e que prometiam mais segurança contra esses ataques.
A empresa de cibersegurança Kaspersky vem acompanhando o desenvolvimento dos recursos de segurança do app, um dos mais populares para chamadas, e traz algumas dicas de proteção para os usuários.
Confira abaixo algumas recomendações de analista de segurança sênior da Kaspersky no Brasil, Fabio Assolini, para uso mais seguro da ferramenta:
• Crie uma senha forte e exclusiva para a sua conta;
• Habilite a autenticação de dois fatores, o que a torna mais difícil de invadir, mesmo que os dados da sua conta vazem (embora até o momento isso não tenha acontecido).
• Depois de se registrar, além de seu login e senha, você obtém um ID de reunião pessoal. Evite torná-lo público. E como o Zoom oferece uma opção para criar reuniões públicas com seu ID de reunião pessoal, é muito fácil vazar esse ID. Se for descoberto, qualquer pessoa pode participar das suas reuniões, portanto compartilhe essa informação com prudência.
• Como revelado pela Kaspersky em março, criminosos têm criado malware disfarçados de apps populares de videochamadas para disseminar seus ataques. Por isso, use o site oficial do Zoom – us– para baixá-lo com segurança para Mac e PC e acesse a App Store ou o Google Play para seus dispositivos móveis.
• Não compartilhe links de conferências em mídias sociais, pois é lá que muitas vezes os invasores encontram as informações para invadir as reuniões. Mas se, por algum motivo, você decidir fazê-lo, certifique-se de não ativar a opção Usar identificação de reunião pessoal.
• Proteja toda reunião com uma senha. Isso permite assegurar que apenas pessoas autorizadas possam ingressar na conversa.
• Ative a configuração Sala de Espera, que só autoriza a entrada dos participantes após a aprovação do moderador, e também permite expulsar uma pessoa indesejada da reunião.
• Opte pelo Zoom em seu navegador: Os vários aplicativos clientes do Zoom demonstraram uma variedade de falhas. Algumas versões permitem que hackers acessem a câmera e o microfone do dispositivo; outros permitem que sites adicionem usuários a chamadas sem o consentimento deles. O Zoom foi rápido para corrigir os problemas mencionados, bem como outros semelhantes, e parou de compartilhar dados do usuário com o Facebook e o LinkedIn. No entanto, dada a ausência de uma avaliação de segurança adequada, os aplicativos Zoom provavelmente permanecem vulneráveis e ainda podem empregar práticas duvidosas, como compartilhar dados com terceiros. Por esse motivo, recomendamos o uso da interface web do Zoom, ao invés de instalar o aplicativo no dispositivo, uma vez que essa versão não possui as permissões de um aplicativo instalado, limitando a quantidade de danos que pode causar.
• Em alguns casos, no entanto, ao tentar usar a interface web, você poderá descobrir que o Zoom iniciou o download do aplicativo automaticamente, e não há outra opção para conectar-se à reunião se não concluindo a instalação. Se isso acontecer, recomendamos, ao menos, limitar o número de dispositivos nos quais o app esteja instalado, e que ele seja um dispositivo secundário, sem informações pessoais.
• Em junho, o Zoom anunciou que iria adicionar criptografia de ponta a ponta em todas as videochamadas. No entanto, a empresa ainda não confirmou se a funcionalidade já está disponível para as versões gratuitas. Por isso, para empresas ou pessoas que tratam de assuntos sensíveis, recomendamos que busquem aplicativos que ofereçam comunicação de forma mais seguro (como o Threema e Signal, etc). É importante que o app ofereça criptografia de ponta a ponta, verificação da veracidade de contatos e não utilize logins baseados apenas em números de telefone.
