El día de hoy recibimos información de que TALOSINTELLIGENCE realizó un disclosure sobre la vulnerabilidad «TALOS-2020-1052 — Zoom Communications registered user enumeration» la cual ya fue solucionada por zoom.
«As of the publication of this blog the issue appears to be patched. Since this is a cloud-side vulnerability there is no action required from users or administrators as the issue resided in Zoom’s infrastructure.»
https://blog.talosintelligence.com/2020/04/zoom-user-enumeration.html
Esta vulnerabilidad consistía en que era posible aprovechar el estándard XMPP que utiliza zoom para solicitar listas de contactos de dominios registrados en zoom.
Esta lista arrojaba los identificadores de usuarios utilizados en zoom y, realizándose consultas adicionales a zoom se podría obtener información presente en la vCard de los usuarios, ej: teléfonos, nombres, correos electrónicos de los usuarios de una organización registrada en zoom.
Talos pudo verificar que esta vulnerabilidad estaba presente el 9 de Abril. A la fecha de la distribución pública de esta información (Abril 21) indicaron que ya no estaba presente.
Para mayor información, consultar:
https://blog.talosintelligence.com/2020/04/zoom-user-enumeration.html