Immaginate una riunione governativa da remoto e, all’improvviso, un utente che compare all’interno della videochiamata e resta in anonimamente in ascolto. Tutto ciò non è in realtà accaduto, ma sarebbe potuto succedere: è infatti questa la situazione che Tom Anthony ha descritto a proposito della prima riunione da remoto del Governo UK nel mese di Marzo, riunione che ha acceso nello sviluppatore la curiosità di verificare la sicurezza di uno strumento divenuto fondamentale per aziende e governi di tutto il mondo: Zoom.
Zoom: 1 milione di tentativi
La scoperta è stata rapida ed eclatante: chiunque avrebbe potuto avere accesso a qualsivoglia riunione online eseguendo una semplice ricerca automatica della password. La storia inizia dunque quel 31 Marzo, quando Boris Johnson twittò l’immagine della riunione con il Meeting ID in bella mostra sullo schermo:
This morning I chaired the first ever digital Cabinet.
Our message to the public is: stay at home, protect the NHS, save lives. #StayHomeSaveLives pic.twitter.com/pgeRc3FHIp
— Boris Johnson (@BorisJohnson) March 31, 2020
In realtà chiunque avesse provato ad accedere alla riunione si trovò di fronte la richiesta di una password a 6 cifre, cosa che evidentemente bloccava l’accesso poiché si sarebbero dovuti fare molti tentativi per indovinare l’unica combinazione valida su 1 milione di possibilità. Tuttavia il servizio aveva un evidente bug: non limitava il numero di tentativi possibili. Di qui il tentativo di Tom Anthony: sviluppare un processo che portasse avanti in parallelo serie continuative di tentativi alla ricerca della giusta sequenza numerica.
Nel giro di breve fu tutto pronto: bastavano pochi minuti per arrivare alla password corretta e poter così accedere a qualsivoglia meeting: governi, aziende di livello enterprise, associazioni e chiunque altro poteva essere all’interno di stanze che non si sarebbero potute chiudere ermeticamente. A seguito della segnalazione, per ammissione dello stesso sviluppatore, il team Zoom ha rapidamente portato offline i propri sistemi ed ha corretto la procedura. Entro i primi giorni di aprile (nelle ore in cui l’Italia assisteva alla caduta dei server dell’INPS, tanto per intenderci) il problema era risolto.
Sono stati mesi complessi per Zoom: emerso come soluzione possibile nei giorni dell’isolamento e di fronte allo shock del lockdown, il servizio è presto stato surclassato da altre soluzioni rivali (Meet, Teams) in conseguenza dei problemi di sicurezza emersi. Il caso di Tom Anthony è soltanto la dimostrazione di quanto fosse fragile in quel frangente la sicurezza del servizio, su cui in seguito il gruppo ha lavorato in modo pressante per ricandidarsi ad un ruolo da protagonista nei mesi della pandemia.