VnReview
Hà Nội

Zoom lại “dính phốt” về bảo mật: làm lộ địa chỉ email và ảnh cá nhân của người dùng

Quả là một khoảng thời gian đầy sóng gió đối với ứng dụng hội họp video trực tuyến Zoom, khi vừa phổ biến chưa được bao lâu thì đã liên tục bị cáo buộc ẩn chứa nhiều lỗ hổng bảo mật và quyền riêng tư.

Theo Vice, ứng dụng hội họp trực tuyến Zoom đnag làm lộ một số địa chỉ email, ảnh cá nhân của người dùng và cho phép một số người dùng tiến hành các cuộc gọi video với người lạ. Tất cả xuất phát từ một lỗi liên quan đến cách thức ứng dụng này quảng lý danh bạ và xác định những người dùng thuộc cùng một tổ chức, công ty.

Zoom lại

Thông thường, Zoom sẽ nhóm các danh bạ có cùng tên miền email vào một "Sổ danh bạ Công ty" (Company Directory), nhằm mục đích giúp bạn tìm một người đồng nghiệp cụ thể nào đó, xem ảnh và địa chỉ email và bắt đầu cuộc gọi video với họ. Tính năng này hữu ích đối với những người làm cùng trong một tổ chức, công ty với nhau; nhưng đồng thời, ứng dụng này cũng "gộp chung" cả những người dùng cá nhân, sử dụng địa chỉ email cá nhân để đăng ký. Điều này đồng nghĩa với việc những người dùng sử dụng cùng một tên miền email miễn phí đều có thể xem địa chỉ email, ảnh của nhau, ngay cả khi họ không thực sự cùng làm việc chung.

Hiện vẫn chưa rõ lỗ hổng này ảnh hưởng tới người dùng trên quy mô như thế nào và có bao nhiêu tên miền bị ảnh hưởng. Một người dùng gặp phải lỗi này đã chia sẻ ảnh chụp màn hình cho thấy có đến 995 tài khoản khác xuất hiện trong "Sổ danh bạ công ty" của họ. Người dùng này cũng cho biết họ gặp phải lỗi với các tên miền xs4all.nl, dds.nl, và quicknet.nl, đều đến từ nhà cung cấp dịch vụ Internet ở Hà Lan. Zoom cho biết công ty đã đưa những tên miền này vào danh sách đen sau khi được Vice báo cáo.

"Zoom duy trì một danh sách đen các tên miền và thường xuyên cập nhật các tên miền mới," người phát ngôn của Zoom cho biết. Zoom cũng gửi cho Vice một trang hỗ trợ kỹ thuật để người dùng có thể yêu cầu tên miền của họ được đưa vào danh sách đen nếu cần thiết. Zoom không nhóm các "tên miền công cộng được sử dụng bao gồm gmail.com, yahoo.com, hotmail.com, v.v…" theo tài liệu hỗ trợ kỹ thuật của dịch vụ. Hiện tại, Zoom từ chối các yêu cầu bình luận về vấn đề này.

Ứng dụng Zoom từ trước đến nay có "lịch sử" không tốt đẹp lắm khi nói đến khía cạnh bảo mật. Tháng 7 năm ngoái, một nhà nghiên cứu đã phát hiện có một trang web độc hại có thể tiến hành các cuộc gọi video Zoom trên máy tính Mac mà không cần sự cho phép của người dùng.

Công ty đã nhanh chóng vá lỗi này và gỡ bỏ một máy chủ web cục bộ mà phần mềm này tạo ra trên máy tính của người dùng. Công ty bảo mật Check Point Research cũng đã công bố một báo cáo hồi tháng 1 vừa qua cho thấy có một lỗi trong phần mềm này cho phép tin tặc nghe lén các cuộc gọi. Mới đây nhất, Zoom xác nhận rằng các cuộc gọi video trên ứng dụng này không hoàn toàn được mã hoá đầu cuối, khác với những gì họ tuyên bố trên trang web chính thức.

Quang Huy

Chủ đề khác