Pesquisar

Zoombombing

Como evitar e se proteger de um ataque no Zoom

Nos últimos meses, vimos crescer o uso de plataformas de videoconferência, especialmente do Zoom. A necessidade de trabalho remoto e de se manter em contato com amigas e familiares tem feito com que muitas pessoas escolham a plataforma por sua estabilidade e funcionalidades, como o compartilhamento de tela, a criação de salas paralelas, etc. No entanto, quando se trata de segurança e privacidade, o Zoom tem deixado a desejar.

Desde a sua popularização, o Zoom vem acumulando um longo histórico de falhas e vulnerabilidades.  Em março de 2020, por exemplo, uma reportagem da Motherboard revelou que o aplicativo do Zoom para iOS enviava dados para o Facebook, ainda que a pessoa não tivesse uma conta na rede social. A falha foi corrigida, mas já no começo de abril, o desenvolvedor britânico Tom Anthony reportou ao Zoom uma falha que tornava possível descobrir a senha de qualquer sessão privada após cerca de 30 minutos realizando várias tentativas aleatórias. A falha foi corrigida poucos dias depois que a empresa tomou conhecimento, mas só foi divulgada no dia 29 de julho, após uma publicação do desenvolvedor. Esses exemplos mostram que a empresa tem se apressado para corrigir os problemas, mas com novos problemas surgindo a cada dia, fica difícil confiar no serviço.

Vale dizer ainda que o Zoom não é um software livre, ou seja, a empresa não dá acesso aos códigos de suas aplicações, não sendo possível analisá-las e auditá-las e ter a certeza do que elas realmente fazem. Assim, só nos resta confiar no que a empresa afirma.

Além disso, o Zoom não possui criptografia ponta-a-ponta (diferente do que a empresa divulgava),  o que significa que tudo que acontece dentro da aplicação pode estar acessível para a empresa e, por alguma falha ou pelo próprio desenho do modelo de negócios da empresa, pode se tornar público ou ser compartilhado com terceiros. Portanto, ao promover ou participar de uma atividade no Zoom, informe às pessoas participantes sobre essa condição, ou seja, que a atividade não é completamente privada, e assuma a postura de que está sendo gravada e observada.

Mas a principal questão que vem assombrando o uso de serviços de videoconferência, especialmente o Zoom, é o crescimento assustador dos casos de zoombombing: a invasão de salas e a sabotagem de atividades através do compartilhamento de imagens e mensagens nazistas, racistas e LGBTfóbicas. Os principais alvos dos ataques são grupos que trabalham ou que se propõem a debater questões raciais e de gênero, o que indica que as invasões são ações coordenadas que visam ameaçar, intimidar e calar a voz das pessoas que lutam por justiça social. Nas últimas semanas os ataques tem se intensificado, atingindo também o espaço acadêmico, com a invasão de defesas de teses, ou mesmo de aulas. Muitos ataques chegam a ir além do zoombombing, com os atacantes invadindo contas de Instagram, email e Twitter de pessoas que organizaram sessões no Zoom.

Para manter suas atividades no Zoom protegidas e longe de sabotagens, ou ainda para se defender no momento mesmo de um ataque, compilamos uma série de cuidados e recomendações de privacidade que devem ser consideradas na hora de criar sua conta e configurar suas sessões no Zoom. A lista é grande, mas se atente àquilo que faz sentido para sua realidade e para as pessoas e grupos com os quais se comunica. Além disso, antes da atividade, busque alinhar as expectativas e intenções de privacidade e segurança com as demais pessoas organizadoras e, se possível, teste o Zoom e suas configurações com pessoas de confiança, antes de utilizar pela primeira vez.

CRIANDO UMA CONTA NO ZOOM:

Ao criar uma conta no Zoom devemos estar atentas a alguns cuidados básicos de segurança e privacidade. Vamos checar juntas alguns deles?

1. Baixando o aplicativo Zoom:

Para fazer o download de qualquer aplicação na Internet, recomendamos sempre buscar o site oficial da aplicação, e não utilizar sites de terceiros. Portanto, para baixar o aplicativo do Zoom para desktop, visite o site oficial (zoom.us). Para baixar o aplicativo no celular, utilize a App Store e o Google Play e verifique se a empresa desenvolvedora do aplicativo é de fato a Zoom

2. E-mail de login:

Crie sua conta com um e-mail exclusivo para essa atividade, se não for possível, use um e-mail que não tenha ligação com outros serviços e contas importantes pessoais e da sua organização. Esse e-mail deve estar ativo e seguro.

3. Senhas: 

Ao criar uma senha para sua conta no Zoom ou para qualquer outra aplicação, tenha em mente que ela deve ser: exclusiva, aleatória e longa.

Exclusiva

Para garantir sua segurança e privacidade, o recomendado é utilizar uma senha diferente para cada conta que criar, seja de e-mail, de redes sociais ou qualquer outro serviço. Aquela velha tática de usar variações de uma mesma senha para diferentes serviços também não é uma boa. Pois uma vez que alguém tenha acesso a uma das senhas, pode descobrir a lógica e deduzir as outras variações.

Aleatória

Sua senha não deve ser algo que remeta a você, então datas de aniversário, nome da mãe, vó, tia, cachorro, gato e papagaio, crush, letras de música etc. Não é uma boa tática! Escolha palavras aleatórias.

Longa

Podemos utilizar sequências de letras, números e caracteres especiais ou fazer sequências de palavras aleatórias (nesse caso, use no mínimo 6 palavras). Para aumentar o grau de complexidade e segurança da sua senha, misture outras línguas, dialetos, gírias ou mesmo palavras inventadas. Isso porque em ataques de força bruta geralmente são utilizadas palavras de dicionários para tornar o processo de quebra de senha mais rápido.

Já que você vai criar uma senha para cada serviço, e senhas longas e aleatórias, a menos que você tenha uma capacidade de memória enorme, você vai precisar de ajuda para lembrar de todas elas. Mas calma, não deixe suas senhas anotadas fisicamente próximo ao seu computador (naquele post-it maroto), também não crie ou deixe senhas em arquivos no computador, celular, nuvem ou no e-mail. Nós recomendamos o uso de um gerenciador de senhas. Um software que além de guardar senhas de forma segura, com criptografia, também pode ser usado para gerar senhas completamente aleatórias. Existem diversos gerenciadores de senhas, o que recomendamos se chama KeepassXC.

Para saber mais sobre senhas, visite este artigo.

 

CONFIGURANDO O ZOOM ANTES DE UMA ATIVIDADE:

Veja como configurar cada item do aplicativo, mas tenha atenção. Estas recomendações foram criadas levando em consideração as configurações disponíveis no Zoom até o dia 21 de agosto de 2020, que podem sofrer alterações. Além disso, também foram criadas a partir de configurações disponíveis para contas gratuitas do Zoom. Para contas pagas, mais opções podem estar disponíveis.

ID de reunião pessoal

Ao criar uma conta, o Zoom te fornece automaticamente um “ID de Reunião Pessoal”, uma sala virtual permanentemente reservada para você, com um ID fixo de 9 a 11 dígitos atribuído à contas gratuitas, e um ID personalizável para contas pagas. É uma função útil para quem faz reuniões com frequência e com as mesmas pessoas, já que evita ter que enviar o link da sala a cada nova reunião. No entanto, quando se trata da nossa segurança e privacidade a função não é recomendada. Já que se trata de um número fixo, é mais fácil de ser descoberto e sua sala pode ser invadida por pessoas não-convidadas. Para evitar exposição, desabilite a opção “Habilitar ID de reunião pessoal”:

 No site do Zoom.us, navegue até
Minha conta > Configurações > Reunião > Agendar Reunião
e desabilite a opção “Habilitar ID de reunião pessoal”

Senha de Reunião

O Zoom não permite mais a criação de salas sem senha. No entanto, por padrão, o Zoom irá incluir a senha no link de convite para a reunião. Apesar de agilizar a entrada das pessoas na sala, é uma grande vulnerabilidade e permite, obviamente, a entrada de pessoas não-convidadas na sua reunião.

 Se pretende realizar uma reunião aberta, pública, em que várias pessoas possam participar e falar, recomendamos estar atenta às outras configurações de privacidade e segurança para evitar sabotagens como o Zoombombing.

 Se pretende realizar um evento público, como uma palestra, por exemplo, em que as pessoas participantes não precisam interagir diretamente com as pessoas palestrantes, considere transmitir sua atividade usando o Youtube, por exemplo. Assim você impede que pessoas não-convidadas sabotem sua atividade. Para saber mais sobre como transmitir sua atividade no Youtube, e quais são os requisitos do Zoom, acesse essas informações no site da aplicação.

Se pretende realizar uma reunião privada, desabilite a inclusão da senha no link de convite para a reunião:

No site do Zoom.us, navegue até
Minha conta > Configurações > Reunião > Security
e desabilite a opção “Senha incorporada no link de convite para ingressos com um clique”

Ao desabilitar essa função, você terá que enviar a senha da reunião para todas as pessoas que deseja convidar. Certifique-se de enviar a senha por meios seguros e privados. 

Antes de divulgar o link da sua atividade, certifique-se que a senha não está (contida) no link.
 Links sem a senha possuem esta estrutura:
 https://us04web.zoom.us/j/54794876286

 Enquanto links com a senha embutida possuem esta estrutura: 
https://us04web.zoom.us/j/54794876286?pwd=ZXpLVkdnN2ZQakk1cDhqRkxtNVQzZz09

Tenha cuidado! Ainda que a opção de incorporar a senha no link esteja desabilitada, o Zoom irá automaticamente incluir a senha quando, já dentro da sala, você copiar o link de convite. Ou seja, ao colar o link de convite, o que vai aparecer é o seguinte:
https://us04web.zoom.us/j/54794876286 (Password: ts3yHx)

 Para reuniões privadas, também recomendamos não postar o link nas redes sociais (com ou sem senha).

Sala de espera

Um recurso que ajuda a evitar a participação de pessoas não-convidadas e, portanto, o Zoombombing, é a sala de espera. Ao ativar essa opção, todas as pessoas que quiserem entrar na sala criada por você precisarão de sua autorização, ainda que elas tenham a senha da sala. Ou seja, ao clicar no link da sala, as pessoas serão direcionadas automaticamente para uma sala de espera. A pessoa anfitriã receberá as solicitações de ingresso e autorizará ou não a entrada na sala. Para ativar essa opção, siga as seguintes coordenadas:

 No site do Zoom.us, navegue até
Minha conta > Configurações > Reunião > Security
habilite a opção “Sala de espera”

 Note que ao habilitar essa configuração, você vai estar também desabilitando a possibilidade de pessoas entrarem na sala antes de você, ou seja, antes da anfitriã.

Bate-papo privado

No Zoom, enquanto anfitriã, você pode permitir ou negar que participantes da reunião troquem mensagens privadas, ou seja, sem que as outras pessoas vejam. Este pode ser um recurso útil para uma atividade online, mas também pode ser usada por invasores e sabotadores para assediar as pessoas durante um Zoombombing. Nesse caso, se o bate-papo privado não fizer sentido para sua atividade, desabilite-o.

 No site do Zoom.us, navegue até
Minha conta > Configurações > Reunião > Em Reunião (Básico)
e desabilite a opção “Bate-papo privado”.

 

 

Transferência de arquivo

O Zoom permite que participantes de uma reunião compartilhem arquivos através do bate-papo. Mais uma vez, uma função que pode ser útil, mas que também pode ser explorada por sabotadores em uma situação de Zoombombing. Ou seja, é possível que invasores compartilhem arquivos com malwares para infectar os computadores das pessoas participantes. Para desabilitar essa funcionalidade, siga as coordenadas abaixo:

 No site do Zoom.us, navegue até
Minha conta > Configurações > Reunião > Em Reunião (Básico)
e desabilite a opção “Transferência de arquivo”

Compartilhamento de tela

É comum em um ataque de Zoombombing que o sabotador compartilhe sua tela com imagens nazistas, racistas, misóginas e LGBTfóbicas. Portanto, é importante restringir quem tem acesso ao compartilhamento de tela da sala de reunião do Zoom. É importante que só a anfitriã possa compartilhar, se isso não for possível, que ao menos só a anfitriã possa retomar o compartilhamento quando alguém estiver compartilhando. Para configurar essas opções, siga as coordenadas abaixo:

 No site do Zoom.us, navegue até
Minha conta > Configurações > Reunião > Em Reunião (Básico) > Compartilhamento de tela
Em “Quem pode compartilhar?”, marque a opção “Apenas anfitrião”.
Em “Quem pode começar a compartilhar quando alguém está compartilhando?”, marque a opção “Apenas anfitrião”.

 Se sua atividade não prevê o uso do recurso de compartilhamento de tela, desabilite-o completamente.

Permitir que os participantes removidos reingressem

No Zoom é possível para a pessoa anfitriã remover participantes de uma sala, um recurso importantíssimo para combater o Zoombombing. O problema é que, em alguns casos, apenas remover não basta, porque os sabotadores podem voltar. Daí a importância de não permitir que participantes removidos reingressem. Ao desabilitar essa função, você aumenta a proteção, mas ela não é infalível já que os sabotadores podem lançar mão de outros recursos para tentar reingressar.

 No site do Zoom.us, navegue até
Minha conta > Configurações > Reunião > Em Reunião (Básico)
e desabilite a opção “Permitir que os participantes removidos reingressem”

 

Permitir que os participantes se renomeiem

É comum em casos de zoombombing que os sabotadores se renomeiem com nomes de pessoas que estão na sala, para criar confusão e tornar mais difícil sua remoção. Para evitar que isso aconteça, é possível desabilitar a possibilidade de participantes se renomearem.

 No site do Zoom.us, navegue até
Minha conta > Configurações > Reunião > Em Reunião (Básico)
e desabilite a opção “Permitir que os participantes se renomeiem”

Denunciar participantes ao Zoom

Essa é também uma função importante para casos de Zoombombing. Ao habilitá-la, as pessoas anfitriãs poderão reportar participantes por comportamento inapropriado para a equipe de segurança do Zoom. Ao habilitar essa função ela deve aparecer como uma opção nos recursos de segurança da sala de reunião. Para habilitar, siga as coordenadas:

No site do Zoom.us, navegue até
Minha conta > Configurações > Reunião > Em Reunião (Avançado)
e habilite a opção “Report participants to Zoom”.

Plano de fundo virtual de imagem

Antes de entrar em qualquer sala de reunião, do Zoom ou de qualquer aplicação de videoconferência, confira se o que está aparecendo na tela não vai ter causar alguma situação constrangedora ou expor informações pessoais que não gostaria de compartilha.

Cuidado com reflexos em espelhos ou objetos que possam estar posicionados no quadro de visão da câmera.  Pode ser uma boa ideia participar estando totalmente vestido e produzir um fundo neutro se necessário.

No Zoom, é possível usar uma imagem como plano de fundo. Mas essa opção nem sempre está habilitada, e cabe a pessoa anfitriã configurá-la.  Se você é uma anfitriã, é recomendado que informe as pessoas participantes dessa questão, e que habilite o “Plano de fundo virtual de imagem” para proteger as pessoas participantes de sua atividade. Para tanto, siga as seguintes coordenadas:

No site do Zoom.us, navegue até
Minha conta > Configurações > Reunião > Em Reunião (Avançado)
e habilite a opção “Plano de fundo virtual de imagem”.

Vale lembrar que esse recurso também pode ser usado por sabotadores para compartilhar imagens nazistas, racistas ou LGBTfóbicas, portanto, fique atenta às outras configurações de segurança para impedir que isso aconteça.

 É possível que algumas pessoas tenham dificuldade em usar o plano de fundo virtual por conta de sua conexão ou do aparelho utilizado para participar da reunião.

Mostrar o link “Join from your browser”

Por padrão, o Zoom força as pessoas a utilizarem seus aplicativos para desktop ou para celulares para entrar em uma reunião. No entanto, como já foi dito no início do texto, não é possível auditar os códigos dos aplicativos do Zoom para saber o que de fato eles fazem. Ou seja, é possível que os aplicativos coletem dados pessoais sobre você e seus dispositivos.

O Zoom permite, no entanto, que as pessoas anfitriãs configurem a possibilidade de participar de uma reunião através do navegador, sem a necessidade de instalar um aplicativo. Para tanto, siga as coordenadas abaixo:

No site do Zoom.us, navegue até
Minha conta > Configurações > Reunião > Em Reunião (Avançado)
e habilite a opção “Mostrar o link Join from your browser”

Nesse caso, ao clicar no link de convite, as pessoas serão direcionada para uma página do Zoom. Um pop-up aparecerá pedindo que elas abram a sala do Zoom no aplicativo. No entanto, é possível ignorar o pedido e clicar no último link que aparece na tela “Se não puder baixar ou executar o aplicativo, inicie-o em seu navegador”.

Ainda que a pessoa anfitriã não habilite essa função, é possível acessar salas Zoom através do navegador usando um pequeno truque:

  1. Clique no link do convite;
  2. Quando a tela de pop-up surgir, clique em “Cancelar”;
  3. Em seguida, identifique na tela a frase “Se você tiver o cliente Zoom instalado, iniciar a reunião ou baixe e execute o Zoom”, e clique no link “iniciar a reunião”;
  4. Quando a tela de pop-up surgir novamente, clique em “Cancelar”;
  5. Repare que uma nova opção surgiu na tela “Se não puder baixar ou executar o aplicativo, inicie-o em seu navegador”, clique no link “inicie-o em seu navegador”.

Atenção:  de acordo com o Zoom, a experiência de reuniões pelo navegador é limitada. Ou seja, ao utilizar o Zoom através do navegador você pode não conseguir acessar várias funcionalidades.

 

CONFIGURANDO O ZOOM DURANTE UMA ATIVIDADE:

1. Bloquear reunião

Se você for a anfitriã da atividade, uma vez que todas as pessoas participantes convidadas já estiverem na sala, é possível travar/bloquear a entrada de mais pessoas.
 
No aplicativo Zoom para desktop, identifique o menu de opções na parte inferior da tela, e clique em Segurança > Bloquear reunião

 Note que ao fazer isso, ninguém mais poderá entrar na sala. Se uma pessoa participante perder a conexão e sair da sala, não poderá mais reingressar.

2. Plano de fundo virtual

Como foi dito no tópico 10 acima, algumas vezes é importante ativar um plano de fundo virtual para proteger informações pessoais que estejam no plano de visão de sua câmera. Se for o seu caso, ao ingressar em uma reunião, como anfitriã ou como participante, siga as coordenadas abaixo:

No aplicativo Zoom para desktop, identifique o menu de opções na parte inferior da tela. Em seguida, identifique o ícone da câmera (aquele que possibilita ligar ou desligar sua câmera). Ao lado deste ícone, repare na seta para cima (^) e clique nela. Em seguida navegue até as configurações de “Plano de fundo virtual”.

^ > Configurações de vídeo… > Plano de fundo virtual

3. Outras configurações

Repare que durante uma atividade, algumas configurações já mencionadas e disponíveis através do site do Zoom, também aparecerão e poderão ser reconfiguradas. Basta clicar no ícone “Segurança” que aparece no menu inferior da tela, e navegar entre as seguintes opções (apenas para pessoas anfitriãs):

– Bloquear tela
– Habilitar sala de espera

Permitir aos participantes:

– Compartilhar tela
– Conversa
– Renomear-se
– Ativar o próprio som deles
– Remover participante
– Comunicar

 

O QUE FAZER DURANTE UM ATAQUE DE ZOOMBOMBING?

Mesmo que você não tenha conseguido configurar uma sala do Zoom de maneira segura, ainda há o que fazer para se proteger durante um ataque de zoombombing.

1. Manter a calma

É difícil, mas tente respirar fundo e manter a calma, será importante para que consiga agir!

2. Remover e bloquear 

Remova o sabotador e bloqueie a sala para que ele não possa retornar. Ainda que você tenha configurado a sala para que pessoas removidas não reingressem, é importante bloquear a sala nesse caso, já que o sabotador pode usar outros truques para reingressar. Lembrando que ao fazer isso, ninguém mais poderá entrar na sala. Se uma pessoa participante perder a conexão e sair da sala, não poderá mais reingressar.

Removendo o sabotador:
No aplicativo Zoom para desktop, identifique o menu de opções na parte inferior da tela, e clique em “Participantes”. Identifique o participante que quer remover, posicione o mouse em cima de seu nome, e clique no ícone “Mais”.  Em seguida, clique em “Remover”.

Bloqueando a sala:
No aplicativo Zoom para desktop, identifique o menu de opções na parte inferior da tela, e clique em Segurança > Bloquear reunião.

3. Outras ações
 

Há ainda outras ações que podem ser úteis no momento do Zoombombing. São elas:

Não permita que as pessoas ativem seus microfones
No aplicativo Zoom para desktop, identifique o menu de opções na parte inferior da tela, e clique em “Segurança”. Em seguida, desative a opção “Ativar o próprio som deles”.

Silencie todas as pessoas
No aplicativo Zoom para desktop, identifique o menu de opções na parte inferior da tela, e clique em Participantes > Desative o som de todos (na parte inferior da janela de pop-up).

Desative o compartilhamento de tela
Caso o sabotador tenha acesso ao compartilhamento de tela, desabilite-o.
No aplicativo Zoom para desktop, identifique o menu de opções na parte inferior da tela, clique em
“Segurança” e desabilite a opção “Compartilhar tela”.

Desative a câmera do sabotador
No aplicativo Zoom para desktop, identifique o menu de opções na parte inferior da tela, e clique em “Participantes”. Posicione o mouse em cima do nome do sabotador, e clique no ícone “Mais”. Em seguida, clique em “Interromper vídeo”.

Desative a conversa no bate-papo
No aplicativo Zoom para desktop, identifique o menu de opções na parte inferior da tela, e clique em “Conversa”. A tela do bate-papo aparecerá. Em seguida, identifique e clique no ícone de menu (…), no canto inferior direito, e marque a opção “Ninguém”.

“Comunique” o sabotador ao Zoom
No aplicativo Zoom para desktop, identifique o menu de opções na parte inferior da tela, e clique em “Participantes”. Identifique o participante que quer reportar, posicione o mouse em cima de seu nome, e clique no ícone “Mais”.  Em seguida, clique em “Comunicar”, preencha o formulário e envie.

Note também que ao reportar ao Zoom você autoriza que a empresa acesse “todos os dados do formulário, incluindo todos os anexos e prints da tela, assim como suas informações de usuária e as informações do usuário que você está reportando, além de todas as informações relevantes da atividade realizada no Zoom”.

plugins premium WordPress

Coletivo independente constituído em 2011 com a missão de fortalecer grupos ativistas por meio de processos de aprendizagem em estratégias e técnicas de ações não-violentas e criativas, campanhas, comunicação, mobilização e segurança e proteção integral, voltadas para a defesa da democracia e dos direitos humanos.

Assine Nossa Newsletter

Material de aprendizagem, reflexões, iniciativas, resistências. Um conteúdo exclusivo e analítico sobre o cenário, os desafios e as ferramentas para seguir na luta.

E mais: Vem de Zap! Recebe em primeira mão ferramentas, editais, notícias e materiais ativistas! 

Pular para o conteúdo