Theo báo cáo từ Vice, việc rò rỉ xảy ra khi sử dụng Zoom để gọi nhóm trong cùng một tổ chức. Thông thường, ứng dụng này sẽ tự động gom các địa chỉ liên hệ có cùng tên miền vào nhóm gọi là "Company Directory", cho phép tìm kiếm một người cụ thể, xem ảnh, email cũng như bắt đầu cuộc gọi video với người đó. Tính năng này được đánh giá là thuận tiện đối với những người có cùng công ty, tổ chức.
Tuy nhiên, tính năng này của Zoom cũng tự gom nhóm email cá nhân có cùng đuôi tên miền, dù nhiều người không phải cùng chung công ty. "Điều này có nghĩa là, nhiều người không thực sự là đồng nghiệp vẫn có thể nhìn thấy hình ảnh, email, thậm chí gọi điện cho nhau. Kẻ xấu có thể lợi dụng tính năng để thu thập dữ liệu cá nhân hoặc quấy rối, chỉ bằng cách tạo địa chỉ email có cùng đuôi tên miền", chuyên gia của Vice, giải thích.
Hiện chưa rõ bao nhiêu tên miền bị ảnh hưởng. Một người dùng Zoom chia sẻ ảnh chụp màn hình, trong đó danh mục Company Directory chứa 995 tài khoản, đồng thời có thể truy cập hình ảnh và email bất kỳ người nào trong đó dù không quen biết. Người này cũng cho biết, anh gặp phải vấn đề với loạt tên miền như xs4all.nl, dds.nl hay quicknet.nl, tất cả đều là ISP của Hà Lan.
Phát ngôn viên Zoom cho biết tình trạng này chỉ xảy ra đối với email có tên miền không phổ biến, hoàn toàn không ảnh hưởng đến người dùng Gmail (gmail.com), Yahoo (yahoo.com), Microsoft (hotmail.com)... Công ty cũng có một danh sách đen các tên miền email bị ảnh hưởng trên trang hỗ trợ để người dùng theo dõi, cũng như yêu cầu bổ sung tên miền mới nếu cảm thấy nghi ngờ.
Trong khi đó, báo cáo khác từ The Intercept cho biết Zoom không có tính năng mã hóa đầu cuối (E2E) khi gọi video nhóm như công ty quảng cáo. Thậm chí, nhóm nghiên cứu cho rằng thực tế, Zoom đang sử dụng "định nghĩa riêng" cho E2E một cách mập mờ, từ đó có thể tự truy cập video và âm thanh không được mã hóa từ các cuộc họp.
Nhóm nghiên cứu phân tích, mã hóa mà Zoom sử dụng cho các cuộc họp là TLS, tiêu chuẩn mà máy chủ web đang sử dụng để bảo mật các trang web HTTPS. Trên thực tế, đây là tiêu chuẩn mà dữ liệu được mã hóa giữa một người dùng đơn lẻ với máy chủ của Zoom, tương tự Gmail hoặc Facebook.
Tuy nhiên, mã hóa đầu cuối là hình thức mà nội dung được truyền giữa người dùng với nhau, công ty cung cấp dịch vụ không có quyền truy cập, tương tự Signal hoặc WhatsApp. Nhóm nghiên cứu nhận thấy Zoom không cung cấp mức mã hóa đó, khiến việc sử dụng cụm từ "mã hóa đầu cuối" của công ty rất khó hiểu.
Phát ngôn viên Zoom phủ nhận việc đánh lừa người dùng. Đại diện này cho rằng việc mã hóa sẽ được thực hiện "từ điểm này đến điểm khác" khi thực hiện cuộc gọi nhóm, nội dung sẽ truyền tải qua đám mây và không thể giải mã. Công ty cũng khẳng định không theo dõi tin nhắn chat khi gọi nhóm.
Tuy nhiên, đại diện Zoom thừa nhận đã thu thập một số dữ liệu cần thiết để cải thiện dịch vụ, bao gồm địa chỉ IP, chi tiết hệ điều hành và chi tiết thiết bị, nhưng không bán chúng cho bên thứ ba.
Zoom đang là nền tảng "phòng họp ảo" được ưa chuộng ở Việt Nam và trên thế giới. Trước đó, công ty đã bị kiện vì gửi dữ liệu người dùng cho Facebook dù đã chính thức xin lỗi và tung ra bản cập nhật mới.
Tại Việt Nam, Zoom Cloud Meetings hiện là ứng dụng được tải về nhiều nhất trên cả iOS và Android, được nhiều công ty, trường học sử dụng để phục vụ việc họp và học từ xa nhằm đối phó với Covid-19. Ứng dụng này từng bị nhiều học sinh Việt Nam đánh giá một sao chỉ vì không muốn học tại nhà.
Bảo Lâm