Timeline Tổng hợp các sự cố bảo mật của ứng dụng Zoom

Bất kể bạn là sinh viên hay nhân viên văn phòng đang làm việc tại nhà trong những ngày này do đại dịch Covid-19, bạn hẳn đã biết tới Zoom – ứng dụng video call đã đạt được rất nhiều sự tăng trưởng vượt bậc gần đây. Tuy nhiên, nó cũng vấp phải làn sóng chỉ trích dữ dội về vấn đề quyền riêng tư và bảo mật, thậm chí bị “tẩy chay” ở nhiều quốc gia. Giữa một biển thông tin thì việc cập nhật các thông tin về Zoom là một việc khá khó khăn. Vì vậy, trong bài viết này chúng tôi đã tổng hợp thành một dòng thời gian chi tiết về những gì đã xảy ra với Zoom trong thời gian vừa qua.

Chỉ trong một thời gian ngắn, Zoom app đã biến đổi từ một ứng dụng mang “vị thế của kẻ thống trị” trở thành một kẻ tội đồ bị tẩy chay. Nhưng điều gì đã thực sự xảy ra?

20 ngày “sóng gió” của Zoom app

Ngày 20 tháng 3

Ứng dụng Zoom dành cho máy tính để bàn và smartphone đã vươn lên dẫn đầu bảng xếp hạng trên các cửa hàng ứng dụng khác nhau kể từ khi lệnh phong tỏa bắt đầu có hiệu lực tại một số quốc gia.

Sự phổ biến đến do thiết kế dễ sử dụng của ứng dụng Zoom. Nó cho phép tới 100 người tham gia cuộc họp dưới 40 phút cho người dùng miễn phí. Theo Apptopia, nền tảng này đã chứng kiến ​​khoảng 600.000 lượt tải xuống mới trong một ngày.

Ngày 29 tháng 3

Mức độ phổ biến của Zoom đã tăng rất nhiều đến mức nó đứng đầu bảng xếp hạng Google Play Store, bỏ xa các đối thủ nặng ký như TikTok, WhatsApp và Facebook. Điều này diễn ra bất chấp sự tồn tại của các ứng dụng video call cũ như Microsoft Skype, Teams, Google Duo, Hangout Meets và các ứng dụng khác.

Ngày 1 tháng 4

Đầu tháng Tư, số lượng các quốc gia ban bố lệnh phong tỏa tăng lên. Một báo cáo mới từ cục điều tra liên bang Mỹ – FBI tuyên bố rằng có một vài sự cố bảo mật trong ứng dụng Zoom. Một trong số đó cho phép tin tặc có thể xâm nhập vào một lớp học trực tuyến, gửi các tin nhắn, hình ảnh nhạy cảm, thậm chí tiết lộ địa chỉ của giáo viên.

Sự cố này sau đó được gọi là zoom-bombing (tạm dịch: công phá lớp học trên Zoom).

Ngoài ra, Chính sách bảo mật của công ty Zoom cũng được phát hiện có các điều khoản quy định rằng Zoom sẽ có quyền kiểm soát để chia sẻ một số dữ liệu của bạn với các khách hàng bên thứ ba. Điều này có thể không quan trọng với người dùng phổ thông, nhưng đối với các doanh nghiệp sử dụng Zoom như một công cụ để giao tiếp với đối tác thì đây là một điểm trừ lớn.

Ngày 2 tháng 4

Mặc dù phía công ty Zoom đã khẳng định trước đó rằng tất cả các video được mã hóa đầu cuối (end-to-end encrypted – chuẩn bảo mật bắt buộc của các ứng dụng nhắn tin, gọi video online). Tuy nhiên các nhà nghiên cứu an ninh mạng đã tiến hành kiểm tra và nhận thấy ứng dụng Zoom không hề có end-to-end encryption.

Trong một cuộc phỏng vấn với trang web The Intercept, phía công ty cũng đã xác nhận rằng Zoom không hỗ trợ mã hóa đầu cuối mà chỉ có mô hình mã hóa tiêu chuẩn TLS. Điều này khiến công ty mất điểm trước các cơ quan chức trách, doanh nghiệp, và những người am hiểu về công nghệ.

Theo ông Nguyễn Hữu Trung – Co-founder & CTO CyStack Việt Nam, các ứng dụng công nghệ phục vụ công dân hiện đại rất cần minh bạch về quyền riêng tư và bảo mật. Cái giá phải trả khi không minh bạch hoặc gian dối không chỉ là các án phạt tài chính, mà còn đánh mất sự tin tưởng của người dùng – thứ vốn đã rất khan hiếm trong thời buổi hiện nay.

Ngày 3 tháng 4

1. Zoom đưa ra lời xin lỗi trong một bài đăng trên blog vì “những lo ngại về quyền riêng tư mà người dùng đang phải đối mặt”. Giám đốc điều hành của công ty, Eric S. Yuan xác nhận họ chưa sẵn sàng xử lý quá nhiều sự cố phát sinh (về bảo mật) khi có quá nhiều người dùng trong một khoảng thời gian ngắn.

“… chúng tôi đã không thiết kế sản phẩm với tầm nhìn xa rằng, chỉ trong vài tuần, mọi người trên thế giới sẽ đột nhiên làm việc, học tập và giao tiếp xã hội từ nhà. Công ty cũng xin lỗi vì đã sử dụng sai thuật ngữ mã hóa đầu cuối.”

Yuan nói thêm rằng công ty sẽ bắt đầu sửa chữa các tính năng riêng tư.

Ảnh 4: CEO Eric S. Yuan thừa nhận Zoom đã thiếu sự chuẩn bị về bảo mật.

2. Cũng trong ngày 3 tháng 4, Cơ quan an ninh mạng quốc gia và Nhóm ứng phó khẩn cấp máy tính của Ấn Độ (CERT-In) đã ban hành một tuyên bố cảnh báo người dùng về lỗ hổng mạng của Zoom. Nó cũng đề cập đến một số biện pháp mà quản trị viên văn phòng và trường học và người dùng cuối có thể thực hiện để giữ an toàn trước các vụ hack.

Ngày 4 tháng 4

Zoom công bố các tính năng bảo mật và quyền riêng tư mới để ngăn chặn zoom-bombing đối với tất cả người dùng cơ bản và Pro. Ứng dụng video call được thêm tính năng Phòng chờ (Waiting Room) và 2 cài đặt mật khẩu. Theo một báo cáo khác, một vài kẻ xấu đã sử dụng các nền tảng truyền thông xã hội như Instagram và Twitter để tổ chức các chiến dịch quấy rối trên Zoom.

Thời báo New York đã phát hiện 153 tài khoản Instagram được tạo để phục vụ mục đích Zoombombing. Facebook cho biết họ đang trong quá trình kéo các tài khoản đó xuống.

Ngày 5 tháng 4

• Zoom đón nhận dấu hiệu tiêu cực khi nhiều trường học bắt đầu cấm ứng dụng này. Lệnh cấm này đến từ Sở Giáo dục Thành phố New York sau cảnh báo của FBI về các lớp học trực tuyến bị hack. Chính quyền cũng khuyến nghị giáo viên sử dụng Microsoft Teams.
• Cũng trong ngày 5 tháng 4: Trong một cuộc phỏng vấn, CEO Eric S. Yuan một lần nữa nói rằng phần mềm Zoom không dành cho mục đích sử dụng đại trà. Ông nói thêm rằng, mặc dù có ý định tốt, nhưng Zoom đã có những bước đi sai lầm. Yuan cũng nói rằng Zoom sẽ khắc phục tất cả các vấn đề trong những ngày tới.

Ngày 8 tháng 4

Bộ Ngoại giao Đức đã đưa ra lệnh hạn chế sử dụng ứng dụng hội nghị trực tuyến Zoom trong một bản thông báo nội bộ cho nhân viên. Cơ quan này cho rằng rằng các điểm yếu về bảo mật và bảo vệ dữ liệu khiến cho việc sử dụng nó quá rủi ro.

Tồi tệ hơn, công ty Zoom Video Communications Inc đã lãnh một “cú tát” đau đớn bởi chính cổ đông của mình. Được biết, vị này đã đệ đơn kiện, cáo buộc ứng dụng Zoom vì đã “khẳng định sai sự thật” về các tiêu chuẩn bảo mật của nó và không minh bạch rằng nó không được mã hóa đầu cuối.

Ngày 9 tháng 4

Thượng viện Hoa Kỳ khuyên các thành viên không sử dụng ứng dụng gọi video Zoom do các vấn đề bảo mật và quyền riêng tư. Họ được yêu cầu tìm một dịch vụ thay thế để làm việc từ xa.

Trong khi đó, Zoom tung ra một bản cập nhật loại bỏ số ID cuộc họp khỏi thanh tiêu đề để không người ngoài nào có thể xem ID cho các mục đích xấu. Zoom cũng giới thiệu một button có tên “Security” – nơi tập hợp tất cả các chức năng bảo mật quan trọng của app.

Timeline Tóm tắt các sự cố bảo mật của ứng dụng Zoom

Mời bạn đọc điểm qua những nét chính về những sự cố bảo mật của ứng dụng tai tiếng này qua Infographics dưới đây.

Chỉ trong vỏn vẹn 20 ngày, Zoom App đã mất đi đà tăng trưởng “trời cho” và trở nên ít đáng tin hơn so với các chính phủ, doanh nghiệp, và người dùng. Dĩ nhiên, đây không phải là dấu chấm hết cho ứng dụng video hội thảo trực tuyến, nhưng nó cũng là một bài học đắt giá cho ban lãnh đạo của chính công ty.

Bảo mật và quyền riêng tư cá nhân không phải động lực chính thúc đẩy sự tăng trưởng của một ứng dụng, nhưng nó là sự đảm bảo cho bất kỳ một sự tăng trưởng đột phá nào.

Bảo vệ người dùng là bảo vệ sản phẩm, đó cũng là cách tốt nhất để bảo vệ sự thịnh vượng của doanh nghiệp.

Hãy đăng ký theo dõi CyStack Resources để đón đọc những bài viết mới nhất nhé!

Nguyen Dang

Infographics by Yen Ha

Tham khảo:

• https://www.news18.com/news/tech/zoom-video-conferencing-and-its-unending-privacy-and-security-issues-the-full-timeline-2563563.html

• https://www.hindustantimes.com/tech/zoom-video-calling-app-privacy-issue-explainer-a-timeline-of-what-actually-happened/story-Ibwry2K5YuWa7YTgZv41AK.html