400 chuyên gia bảo mật chống tấn công lợi dụng Covid-19

Tăng trưởng bùng nổ, đạt giá trị 38 tỷ USD nhưng Zoom đang đối mặt với các nghi vấn về bảo mật và quyền riêng tư

Dù tăng trưởng bùng nổ về lượng người dùng nhưng Zoom đang bị các chuyên gia bảo mật nghi ngờ về khả năng bảo mật và quyền riêng tư của người dùng.

Hãng ứng dụng cuộc gọi video Zoom đang có những hoạt động kinh doanh tích cực khi đại dịch corona buộc hàng triệu người trên toàn cầu phải làm việc tại nhà.

Bắt đầu niêm yết trên sàn chứng khoán từ tháng Tư năm 2018, và đến thứ Hai vừa qua, giá cổ phiếu công ty đã tăng vọt 22% lên mức 159,07 USD/cổ phiếu, mức cao nhất trong một ngày của công ty. Còn nếu tính từ 31 tháng Một năm nay, cổ phiếu Zoom đã tăng phi mã lên hơn 100%.

Hiện tại công ty chưa tiết lộ số lượng người dùng mới của mình nhưng một tài liệu gửi nhà đầu tư vào thứ Sáu tuần trước cho thấy, lượng sử dụng tăng đột biến đã khiến họ gia tăng chi phí cơ sở hạ tầng.

Giá cổ phiếu Zoom đã tăng bùng nổ kể từ đầu năm nay.

Trong vài tuần vừa qua, công ty đã bắt đầu loại bỏ giới hạn 40 phút đối với các cuộc gọi hội nghị trực tuyến và phát hành miễn phí cho các trường học tại Mỹ, Trung Đông và châu Âu, khi những nơi này đang buộc phải đóng cửa trước dịch virus corona.

Nhưng trong khi Zoom đang mở rộng không ngừng tập người dùng của mình đến hàng trăm nghìn văn phòng và trường học trên toàn thế giới, các chuyên gia bảo mật cũng phát đi các lo ngại liên quan đến các chính sách bảo mật và bảo vệ dữ liệu của công ty.

Nói chuyện với Business Insider, một số chuyên gia về an ninh mạng nhấn mạnh đến một tính năng trong ứng dụng (một in-app feature) sẽ cho phép những người tổ chức họp trên Zoom theo dõi tương tác của người dùng, dễ dàng chia sẻ các file không đúng cách, và thiếu rõ ràng trong chính sách riêng tư của công ty.

Những kẻ tấn công có thể lợi dụng Zoom khi nó ngày càng phổ biến hơn

Trong tháng Một, hãng an ninh mạng Check Point Research phát hiện ra một lỗ hổng trong ứng dụng Zoom, sẽ cho phép hacker nghe được các cuộc họp hội nghị video dù không được mời, và giành quyền truy cập tới các file nội bộ cũng như các thông tin nhạy cảm khác.

Bùng phát virus corona đã khiến nhu cầu sử dụng Zoom tăng vọt khi nhu cầu làm việc từ xa bùng nổ.

Tom Lysemose Hansen, CTO của hãng bảo mật trong ứng dụng Promon, nói với Business Insider rằng các lỗ hổng của Zoom " đã trở nên rõ ràng" sau sự cố này.

Ông cho biết: " Cũng như với bất kỳ loại phần mềm nào, các nền tảng họp hội nghị video đều dễ bị hack, và thật không may, khi ngày càng nhiều người bắt đầu sử dụng công nghệ này, các hacker sẽ bắt đầu nhắm tới họ với tần suất ngày càng tăng."

Trả lời Business Insider, Zoom cho biết, lỗ hổng mà Check Point chỉ ra đã được vá lại trước khi chúng được công bố công khai, đồng thời bổ sung rằng họ đã cập nhật một số tính năng (Ví dụ Xác thực ID trong cuộc họp và Khóa Thiết bị) nhằm "hạn chế mức độ hiệu quả của các công cụ độc hại."

Tính năng trên Zoom có thể cho phép cấp trên theo dõi nhân viên

Nhưng ông Hansen còn chỉ trích Zoom vì một tính năng trong ứng dụng khác "employee tracker", cho phép người chủ phòng họp có thể theo dõi liệu những người dùng khác có để ứng dụng chạy trên màn hình chính trong 30 giây gần đây hay không.

Camilla Winlo, giám đốc công ty tư vấn quyền riêng tư DQM GRC, cũng đồng ý với điều này khi cho rằng tính năng này có thể bị các ông chủ lợi dụng để can thiệp sai trái vào thông tin.

" Nó không khác gì việc cho ai đó mở ra một tài liệu để ghi chú hoặc chơi Solitaire trong đó". Cô cho biết. " Các tổ chức nên cung cấp việc huấn luyện chi tiết để biết được những loại tính năng này nên và không nên sử dụng như thế nào, nhưng thành thật mà nói, phần lớn mọi người chỉ muốn sớm làm việc từ xa và chạy ứng dụng ngay bây giờ."

Zoom cho biết rằng, tính năng này đã bị tắt mặc định, và chỉ có thể được bật lên bởi người tổ chức cuộc họp và chỉ xuất hiện nếu người tổ chức cuộc họp chia sẻ màn hình của mình.

" Tính năng cho phép người tổ chức cuộc họp thấy được dấu hiệu của việc ai đó không chú ý đến ứng dụng Zoom trong vòng 30 giây chỉ xuất hiện khi người tổ chức cuộc họp chia sẻ màn hình của mình." Đại diện của Zoom cho biết.

" Nếu người tổ chức không chia sẻ màn hình của mình, sẽ không có dấu hiệu nào cho biết liệu những người tham gia cuộc họp có chú ý đến Zoom hay không. Nó cũng sẽ không theo dõi bất kỳ nội dung âm thanh hay video của cuộc họp."

Gần đây hơn, vấn nạn " Zoombombing" trở nên ngày càng nghiêm trọng hơn, khi những kẻ phá rối có thể nhảy vào những cuộc họp hội nghị công khai và chia sẻ các hình ảnh không phù hợp cũng như các tin nhắn spam khác. Công ty Chipotle và nhiều tổ chức khác đã bị tấn công bởi những kẻ phá rối như vậy.

Đáp lại vấn đề này, Zoom đã công bố một hướng dẫn mới giải thích việc những người tổ chức họp có thể ngăn chặn những vị khách vô danh chia sẻ các tệp tin không phù hợp như thế nào.

Khi ứng dụng của mình ngày càng phổ biến, công ty đang đối mặt với những lời kêu gọi minh bạch hơn về cách xử lý dữ liệu người dùng.

Trong bức thư mở được nhóm hoạt động về quyền kỹ thuật số, Access Now đăng tải tuần trước, các nhà hoạt động đã kêu gọi Zoom công bố " một báo cáo minh bạch", như các hãng như Google và Microsoft, đã tuyên bố rõ ràng về cách họ xử lý dữ liệu người dùng.

Phát ngôn viên của Zoom cho biết, công ty " không bán dữ liệu người dùng dưới bất kỳ hình thức nào cho bất kỳ ai. ... Zoom chỉ thu thập dữ liệu người dùng trong phạm vi cần thiết để cung cấp các hỗ trợ về hoạt động và kỹ thuật, cũng như để cải thiện dịch vụ của chúng tôi. Zoom phải thu thập các thông tin kỹ thuật như địa chỉ IP, chi tiết hệ điều hành và các chi tiết thiết bị của người dùng để dịch vụ của mình hoạt động một cách chính xác."