研究人员已经找到了Zoom视频会议凭据的数据库，范围从电子邮件和密码到会议ID，名称和主持人密钥。完整凭据可用于从缩放炸弹到BEC攻击的一系列活动。

该数据库是由IntSights在一个暗网论坛中发现的。它不是一个大型数据库。它仅包含2,300条记录-太小以至于不能暗示对Zoom本身进行了未知的数据泄露，但太大了以至于不能暗示在网上找到的随机详细信息集合。不过，后者是可行的，因为Zoom用户在保护细节方面非常松懈-当然，这可能只是未提供给其他人的较大凭据集合中的一小部分。

2020年3月27日，英国首相（鲍里斯·约翰逊（Boris Johnson））发表推文（附截图），说他刚刚举行了英国政府有史以来第一次数字内阁会议。屏幕截图显示了“ Zoom Meeting ID：539-544-323 ”。约翰逊可能认为这很安全，因为会议已经结束。但是Zoom称其为“会议ID”有些令人困惑。这不是这次会议。这是帐户持有人举行的所有会议。

将这个ID号添加到通常很容易猜到的URL中是获得对该帐户举行的所有当前会议的访问权限的第一步。该URL可以是基本的Zoom URL（https：// zoom。us / j /），也可以是插入公司名称的URL。因此，'zoom [companyname]。us / j / [帐户/ ID号]'是帐户所有者举行的每次Zoom视频会议的URL。希望NCSC指示约翰逊先生（或持有内阁会议使用的帐户的任何人）取消该帐户并创建一个具有不同ID号的新帐户。

但是，拥有这些详细信息并不能简单地为会议打扰放大炸弹的可能性。对ID（通常只是电子邮件地址）和密码的其他访问将使罪犯可以开设帐户并以帐户持有人的名义开始新的视频会议-这会带来一系列全新的风险。

在某些情况下，IntSights找到的数据库仅包含部分详细信息-在其他情况下，它包含完整的详细信息集，包括所有打开的会话中的PIN码。通过访问URL，ID号和PIN码，攻击者可以进入视频会议并接管视频会议-包括为了娱乐而删除与会者。

数据库中可用的凭据范围从个人帐户到银行，咨询公司，教育机构，医疗保健提供商和软件供应商的公司帐户。

通过简单的ID和密码访问Zoom帐户，可以找到一种可能的销售方式来收集待售明细：凭证填充。黑暗网络上有如此多的电子邮件地址和密码，并且有在多个帐户中重复使用密码的常见做法。可以使用凭证填充活动来最初进入Zoom帐户，从那里罪犯可以看到他还能找到什么。

IntSights的CSO Etay Maor告诉《安全周刊》：“对我来说有趣的是在黑暗网络上提供数据库之后的一些讨论。他们围绕如何自动对Zoom进行攻击。正在发生的是使用“缩放检查器”。” 检查程序是银行卡欺诈的一种概念，其中针对被盗的卡凭据进行小额支付，以检查该帐户是否有效。“看来他们正在构建和改编不同的工具来检查和自动发现用户名和密码背后的有效帐户。”

一种这样的工具已经在GitHub上免费提供：OpenBullet。这不仅可以针对Zoom登录页面测试电子邮件和密码，而且成功之后，它还会尝试收集其他数据，例如ID号和PIN码（两者都是固定的）。

潜在的威胁不只是缩放炸弹。“如果罪犯拥有大量帐户，则电子邮件地址上的一些OSINT（例如使用LinkedIn）可以找到任何高价值帐户持有人，例如CEO。LinkedIn还可以找到公司的财务官，以及使用与首席执行官的电子邮件地址相同的结构，攻击者可能会猜到CFO的电子邮件地址。”

有权访问CEO的Zoom帐户的攻击者可以向CFO发送电子邮件，并说：“我需要与您交谈。请继续使用Zoom。” 从那里开始，这就是罪犯已经完善的标准社会工程-可能会通过增加噪音使声音模糊，使视频难以观看，或者使用“通过电话缩放”等等。现在，这成为了新的BEC机会。丢失Zoom凭证不仅会使您的视频会议无聊，而且在您在家办公时，还会使您的公司面临新的BEC威胁矢量。

通过使客户易于使用Zoom，该平台已变得容易被犯罪分子滥用。