En abril de 2019, Dropbox invitó a 45 hackers de 11 países a un evento en Singapur destinado a hackear los propios productos de Dropbox (Dropbbox.com, Dropbox Paper, HelloSign), así como los de sus partners; todo ello como parte de su apuesta por una política de incentivar económicamente a los hackers para detectar sus vulnerabilidades y así poder solventarlas con mayor rapidez.
Dos de los hackers invitados, mientras volaban a Singapur desde Australia, decidieron probar el software de uno de esos partners, una aplicación de videollamadas denominada Zoom, que aún estaba lejos de haber alcanzado su actual fama (que se ha traducido en millones de nuevos usuarios), pero que sí era ya muy usada por los empleados de Dropbox.
Rápidamente descubrieron una vulnerabilidad grave, una que permitía a un posible atacante hacerse con el control de los ordenadores Mac de ciertos usuarios. Otro de los invitados al evento descubrió otra vulnerabilidad que permitía observar en secreto las videollamadas de los usuarios cuando estos estaban usando una conexión Wi-Fi.
¿No podía saberse?
Hackers y empleados de Dropbox en el HackerOne de Singapur del año pasado. (Vía HackerOne)
Por eso, cuando ante la ristra de escándalos sobre ciberseguridad y privacidad encadenados en las últimas semanas por Zoom, los inversores de Silicon Valley salen en defensa de esta aplicación alegando que estos problemas eran «impredecibles» porque durante la actual crisis del coronavirus se le está dando un uso diferente al planificado por sus desarrolladores (como hizo Alex Stamos, recién fichado como asesor de seguridad de Zoom), se alzan voces (como las de antiguos ingenieros de Dropbox citados por el New York Times) exclamando que de ‘impredecible’ nada, que Zoom lleva ya un par de años al menos arrastrando estos problemas.
De hecho, en 2018 Dropbox llegó a desarrollar un duplicado de Zoom (denominado ‘Vroom’) y animó a su propia plantilla a hackearlo como forma de revisar las malas prácticas de su partner. Los citados ex-ingenieros de Dropbox (anónimos, al estar vinculados a cláusulas de confidencialidad) destacaron también la lentitud de sus homólogos de Zoom para solventar los errores detectados durante el evento hacker de Singapur: hasta 3 meses, en algunos casos.
El interés de Dropbox por Zoom -no es habitual que los ‘bug bounty programs’ de las compañías se destinen a detectar también vulnerabilidades de sus partners- tenía una doble motivación: tanto la compañía en sí como alguno de sus directivos a nivel particular son inversores en Zoom; y, además, la integración que Dropbox ofrece con las videollamadas de Zoom les hizo temer por la seguridad de sus propios usuarios.
Chris Evans, ex-jefe de seguridad de Dropbox, afirma que no tiene «ninguna duda acerca de que Zoom ha sido capaz de reaccionar al actual problema del ‘zoombombing’ gracias al temprano interés de Dropbox por la aplicación» y a todas las sugerencias que le hicieron llegar a Zoom a raíz de aquello. Hace poco Zoom anunció que durante los próximos tres meses la aplicación dejará de añadir nuevas características y someterá su código a una auditoría de seguridad.
Fuente: nytimes.com