Từ một “người hùng” Internet trong đại dịch, Zoom bỗng chốc bị quay lưng vì vấn đề bảo mật.

Hai năm trước, bê bối thu thập dữ liệu liên quan đến Facebook và Cambridge Analytica làm dấy lên lo ngại về quyền riêng tư, bảo mật của các dịch vụ trực tuyến. Đó cũng là vấn đề mà Zoom đang gặp phải.

Các nhà nghiên cứu, chuyên gia bảo mật đã phát hiện nhiều lỗ hổng có trong dịch vụ suốt thời gian qua. Người dùng được khuyên không nên sử dụng Zoom, nhiều doanh nghiệp cũng cấm nhân viên họp bằng dịch vụ này.

Dường như việc nổi lên quá nhanh khiến Zoom không thể lường trước những vấn đề mà họ sẽ đối mặt.

Zoom được xem là ví dụ của những công ty “thời đến cản không nổi”. Ảnh: TechCrunch.

Sớm nở chóng tàn

Trong bối cảnh đại dịch Covid-19 bùng phát, nhiều quốc gia đã ban hành chính sách cách ly xã hội, phong tỏa đất nước để giảm sự lây lan của virus.

Với chính sách trên, xu hướng học tập và làm việc tại nhà được lựa chọn để tránh tiếp xúc gần nhưng vẫn đảm bảo tiến độ bài học cũng như công việc. Từ đó, Zoom trở thành dịch vụ thịnh hành nhờ những ưu điểm như ổn định, dễ sử dụng và hoàn toàn miễn phí.

Theo The Next Web, lượng người dùng hoạt động mỗi ngày trên Zoom tăng từ 10-200 triệu trong tháng 3. Ngay sau đó, những lỗ hổng về quyền riêng tư, chính sách dữ liệu mập mờ của dịch vụ này liên tiếp bị phanh phui.

Ngày 19/3, Tổ chức Biên giới Điện tử (EFF) đã gây sốc khi chỉ ra hàng loạt vấn đề của Zoom. Theo đó, chủ cuộc họp có thể biết thành viên nào không tập trung nếu họ rời khỏi cửa sổ ứng dụng quá 30 giây. Ví dụ, nếu đang tham gia họp mà quay ra lướt Facebook, xem YouTube thì Zoom sẽ báo cáo lại. Tính năng theo dõi này đã bị gỡ vào ngày 2/4.

Một lỗ hổng trên Zoom cho phép hacker xâm nhập lớp học, phát phim khiêu dâm. Ảnh: TechCrunch.

Tiếp đến, nếu thành viên ghi hình buổi họp, quản trị viên có thể truy cập mọi dữ liệu bên trong. Họ còn có thể thu thập thông tin hệ điều hành, địa chỉ IP, dữ liệu vị trí và thông tin thiết bị của mỗi thành viên tham gia.

Giữa tháng 3, một lỗ hổng nghiêm trọng khác xuất hiện có tên Zoombombing. Khi cuộc họp diễn ra, hacker có thể tìm liên kết hoặc ID rồi xâm nhập phá rối bằng cách phát phim khiêu dâm. Để khắc phục, TechCrunch cho biết chủ cuộc họp cần tắt tính năng trình chiếu màn hình của thành viên cũng như khả năng chia sẻ file để tránh virus bị phát tán.

Ngày 27/3, ứng dụng Zoom trên iOS bị phát hiện âm thầm gửi dữ liệu người dùng đến Facebook, bao gồm thông tin chi tiết về thiết bị, múi giờ, thành phố, nhà mạng và số nhận dạng quảng cáo của người dùng. Thông qua đó, bên thứ ba có thể sử dụng để quảng cáo tới đối tượng phù hợp. Vài ngày sau, Zoom đã cập nhật gỡ bỏ tính năng này.

Ngày 1/4, trang Motherboard phát hiện Zoom còn tiết lộ địa chỉ email, hình ảnh người dùng cho người lạ. Vấn đề liên quan đến tính năng Company Directory, tự động thêm một nhóm người vào danh sách liên lạc nếu đăng ký với địa chỉ email có tên miền giống nhau.

Tính năng Company Directory sẽ tự thêm người dùng khác vào danh bạ nếu có chung tên miền email khi đăng ký. Ảnh: Motherboard.

Vài ngày sau, Bleeping Computer đăng bài viết cảnh báo phần mềm Zoom Desktop Client trên Windows có thể bị hack để đánh cắp mật khẩu. Tìm hiểu kỹ hơn, The Intercept phát hiện các cuộc gọi Zoom không được mã hóa đầu cuối, trái với những gì mà dịch vụ này khẳng định.

Ngoài ra, kỹ sư phần mềm Felix Seele cũng phát hiện ứng dụng Zoom trên macOS có đoạn mã cài ứng dụng vào máy trước cả khi người dùng bấm Cài đặt (Install). Patrick Wardle, nhà nghiên cứu bảo mật của Jamf cũng phát hiện 2 lỗ hổng zero-day cho phép kẻ xấu chiếm quyền kiểm soát micro và webcam.

Troy Hunt, nhà nghiên cứu bảo mật người Australia cho rằng không chỉ Zoom mà nhiều ứng dụng khác cũng sẽ trải qua tình trạng này khi nổi tiếng quá nhanh.

“Zoom đang là tâm điểm chú ý khi lượng người dùng tăng đột biến. Vấn đề mà ứng dụng này gặp phải không quá mới: điều khoản có lợi cho họ về cách thu thập dữ liệu, hàng loạt lỗ hổng bảo mật được phát hiện… Nếu một dịch vụ nào đó bỗng dưng phổ biến, nó cũng sẽ giống như vậy”, Hunt nhận định.

Zoom là dịch vụ học và họp online nổi lên trong bối cảnh đại dịch Covid-19 bùng phát, người dân được yêu cầu ở nhà để tránh tiếp xúc gần. Ảnh: The Verge.

Bị tẩy chay vì mất niềm tin

Sau hàng loạt bê bối, nhiều doanh nghiệp, chính quyền đã ban hành quy định về việc sử dụng Zoom.

Ngày 28/3, công ty SpaceX của Elon Musk đã gửi email cấm nhân viên sử dụng Zoom do lo ngại quyền riêng tư và bảo mật. Cơ quan Hàng không Vũ trụ Mỹ (NASA) cũng cấm nhân viên hội họp bằng Zoom, theo phát ngôn viên Stephanie Schierholz.

Sau đó một tuần, chính quyền thành phố New York của Mỹ đã ra văn bản cấm các trường học sử dụng Zoom. Một số nơi như tiểu bang Utah, Washington và Nevada cũng ban hành chính sách tương tự, khuyên mọi người chuyển sang các nền tảng như Microsoft Teams.

Các quan chức tại trường trung học Berkeley ở California cũng cho biết sẽ ngừng sử dụng Zoom sau khi “một người đàn ông khỏa thân có những lời lẽ phân biệt chủng tộc” xâm nhập vào cuộc gọi được bảo vệ bằng mật khẩu trên Zoom.

Nhiều doanh nghiệp khuyên nhân viên chuyển sang các dịch vụ an toàn hơn như Microsoft Teams, Google Meet. Ảnh: News Parliament.

Đài Loan và Đức cũng đặt ra các hạn chế tương tự. Chính phủ Đài Loan đã “cấm cửa” Zoom sau khi CEO công ty này thừa nhận các cuộc gọi video được gửi đến máy chủ đặt tại Trung Quốc. Họ cũng yêu cầu các trường học, tổ chức xem xét chuyển sang dịch vụ hội họp online của Microsoft, Google.

Ngày 9/4, Google đã ra lệnh cấm sử dụng Zoom vì lo ngại vấn đề bảo mật. Trong email gửi đến nhân viên, Google nói rằng ứng dụng Zoom Desktop Client sẽ không còn hoạt động trên máy tính của Google vì không đáp ứng tiêu chuẩn bảo mật.

Ngày 10/4, Bộ Giáo dục Singapore đã ngừng cho giáo viên sử dụng Zoom sau sự cố Zoombombing xảy ra trong tuần đầu tiên các trường học tại đây chuyển sang dạy trực tuyến.

“Đây là sự cố rất nghiêm trọng. Bộ Giáo dục Singapore đang điều tra và đưa ra báo cáo của cảnh sát nếu cần”, ông Aaron Loh thuộc bộ phận công nghệ của Bộ cho biết.

Không chỉ vậy, một cổ đông của Zoom đã khởi kiện công ty vì “gian dối trong các điều khoản bảo mật, cũng như không thông báo rõ dịch vụ mà họ cung cấp không được mã hóa đầu cuối”. 

Reuters cho biết cổ đông Michael Drieu đã kiện Zoom vì những lùm xùm liên quan đến vấn đề bảo mật gây ảnh hưởng đến giá cổ phiếu. Tính đến ngày 23/3, giá cổ phiếu của Zoom đã chạm ngưỡng 159,56 USD. Trong khi đầu năm nay, giá cổ phiếu chỉ ở mức 70 USD. Đến hôm 7/4, Zoom ghi nhận giá cổ phiếu công ty giảm xuống mức 113 USD vì những vấn đề về bảo mật.

Tuy dễ thiết lập và sử dụng, Zoom không phải công cụ họp, học online an toàn. Ảnh: The Independent.

Người dùng có nên tiếp tục sử dụng Zoom?

Trong bài blog đăng ngày 1/4, Eric Yuan, CEO Zoom đã lên tiếng xin lỗi người dùng sau những vấn đề bảo mật nghiêm trọng vừa qua, đồng thời đưa ra các giải pháp mang lại trải nghiệm tốt hơn.

Trước hết, Zoom đã bắt đầu kế hoạch “đóng băng tính năng” trong 90 ngày để củng cố các vấn đề bảo mật và quyền riêng tư, trong đó một số lỗi bị phát hiện đã được khắc phục. 

Công ty cũng tăng giải thưởng cho chương trình phát hiện lỗi, họp đánh giá bảo mật mỗi thứ tư, mời cựu giám đốc an ninh của Facebook, Alex Stamos làm cố vấn.

“Tương tự nhiều công ty non trẻ khác, Zoom tập trung phát triển tính năng chính thay vì đảm bảo quyền riêng tư và bảo mật. Nhiều lỗ hổng khác trên Zoom có thể được tìm thấy. Tuy nhiên, Zoom đã có những giải pháp sửa lỗi nhanh chóng, và lượng lỗ hổng sẽ giảm trong thời gian tới”, Yuan cho biết.

Tuy dễ sử dụng và thiết lập, những bê bối vừa qua cho thấy Zoom là ứng dụng chưa an toàn cho người dùng. Theo ghi nhận của ZDNet, kẻ xấu đã lập nhiều nhóm trên RedditDiscord để lên kế hoạch phá hoại các cuộc họp. Do đó, người dùng có nhu cầu học, họp online nên tìm các giải pháp thay thế trong khi chờ đợi Zoom khắc phục mọi vấn đề bảo mật.

Theo Zing.vn

VinSEP

VinSEP (Công ty TNHH Mục Tiêu Số, MST: 0316094847)- chúng tôi là chuyên gia trong giải pháp/dịch vụ CNTT & phần mềm bản quyền. VinSEP giúp doanh nghiệp chuyển đổi thành nơi làm việc hiện đại (Modern Workplace) & phát triển trong thời đại công nghiệp 4.0.

VinSEP chỉ có một website Official chính thức là VinSEP.com.

Tag:

Bài viết liên quan