Toàn cảnh bê bối bảo mật của ứng dụng Zoom video conference

Bất kể bạn là sinh viên hay nhân viên văn phòng đang làm việc tại nhà trong những ngày này do đại dịch Covid-19, bạn hẳn đã biết tới Zoom – ứng dụng video call đã đạt được rất nhiều sự tăng trưởng vượt bậc gần đây. Tuy nhiên, nó cũng vấp phải làn sóng chỉ trích dữ dội về vấn đề quyền riêng tư và bảo mật, thậm chí bị “tẩy chay” ở nhiều quốc gia. Giữa một biển thông tin thì việc cập nhật các thông tin về Zoom là một việc khá khó khăn. Vì vậy, trong bài viết này CyStack đã tổng hợp thành một  dòng thời gian chi tiết về những gì đã xảy ra với Zoom  trong thời gian vừa qua.



Ngày 20 tháng 3



Ứng dụng Zoom dành cho máy tính để bàn và smartphone đã  vươn lên dẫn đầu  bảng xếp hạng trên các cửa hàng ứng dụng khác nhau kể từ khi lệnh phong tỏa bắt đầu có hiệu lực tại một số quốc gia.



Ngày 29 tháng 3



Mức độ phổ biến của Zoom đã tăng rất nhiều đến mức nó  đứng đầu bảng xếp hạng Google Play Store , bỏ xa các đối thủ nặng ký như TikTok, WhatsApp và Facebook. Điều này diễn ra bất chấp sự tồn tại của các ứng dụng video call cũ như Microsoft Skype, Teams, Google Duo, Hangout Meets và các ứng dụng khác.



Ngày 1 tháng 4



Đầu tháng Tư, số lượng các quốc gia ban bố lệnh phong tỏa tăng lên. Một báo cáo mới từ cục điều tra liên bang Mỹ –  FBI tuyên bố rằng có một vài sự cố bảo mật  trong ứng dụng Zoom. Một trong số đó cho phép tin tặc có thể xâm nhập vào một lớp học trực tuyến, gửi các tin nhắn, hình ảnh nhạy cảm, thậm chí tiết lộ địa chỉ của giáo viên.



Sự cố này sau đó được gọi là  zoom-bombing   (tạm dịch: công phá lớp học trên Zoom) .



Zoom-bombing xảy ra tại nhiều lớp học trực tuyến tại Việt Nam và trên thế giới. Ngoài ra, Chính sách bảo mật của công ty Zoom cũng được phát hiện có các điều khoản quy định rằng  Zoom sẽ có quyền kiểm soát để chia sẻ một số dữ liệu của bạn với các khách hàng bên thứ ba . Điều này có thể không quan trọng với người dùng phổ thông, nhưng đối với các doanh nghiệp sử dụng Zoom như một công cụ để giao tiếp với đối tác thì đây là một điểm trừ lớn.



Ngày 2 tháng 4



Mặc dù phía công ty Zoom đã khẳng định trước đó rằng tất cả các video được mã hóa đầu cuối (end-to-end encrypted – chuẩn bảo mật bắt buộc của các ứng dụng nhắn tin, gọi video online). Tuy nhiên các nhà nghiên cứu an ninh mạng đã tiến hành kiểm tra và nhận thấy  ứng dụng Zoom không hề có end-to-end encryption .



Trong một cuộc phỏng vấn với trang web The Intercept, phía công ty cũng đã xác nhận rằng Zoom không hỗ trợ mã hóa đầu cuối mà chỉ có mô hình mã hóa tiêu chuẩn TLS. Điều này khiến công ty mất điểm trước các cơ quan chức trách, doanh nghiệp, và những người am hiểu về công nghệ.



Ứng dụng Zoom không hề có End-to-end encryption như hãng công bố . Theo ông Nguyễn Hữu Trung – Co-founder & CTO CyStack Việt Nam, các ứng dụng công nghệ phục vụ công dân hiện đại rất cần minh bạch về quyền riêng tư và bảo mật. Cái giá phải trả khi không minh bạch hoặc gian dối không chỉ là các án phạt tài chính, mà còn đánh mất sự tin tưởng của người dùng – thứ vốn đã rất khan hiếm trong thời buổi hiện nay.



Ngày 3 tháng 4



Zoom đưa ra lời xin lỗi trong một bài đăng trên blog vì “những lo ngại về quyền riêng tư mà người dùng đang phải đối mặt”. Giám đốc điều hành của công ty, Eric S. Yuan xác nhận họ chưa sẵn sàng xử lý quá nhiều sự cố phát sinh (về bảo mật) khi  có quá nhiều người dùng trong một khoảng thời gian ngắn .
“… chúng tôi đã không thiết kế sản phẩm với tầm nhìn xa rằng, chỉ trong vài tuần, mọi người trên thế giới sẽ đột nhiên làm việc, học tập và giao tiếp xã hội từ nhà. Công ty cũng xin lỗi vì đã sử dụng sai thuật ngữ  mã hóa đầu cuối .”



Yuan nói thêm rằng công ty sẽ bắt đầu sửa chữa các tính năng riêng tư.



Ảnh 4: CEO Eric S. Yuan thừa nhận Zoom đã thiếu sự chuẩn bị về bảo mật.



Cũng trong ngày 3 tháng 4,  Cơ quan an ninh mạng quốc gia  và Nhóm ứng phó khẩn cấp máy tính của Ấn Độ (CERT-In) đã ban hành một tuyên bố cảnh báo người dùng về lỗ hổng mạng của Zoom. Nó cũng đề cập đến một số biện pháp mà quản trị viên văn phòng và trường học và người dùng cuối có thể thực hiện để giữ an toàn trước các vụ hack.
Ngày 4 tháng 4



Zoom công bố các tính năng bảo mật  và quyền riêng tư mới để ngăn chặn  zoom-bombing  đối với tất cả người dùng cơ bản và Pro. Ứng dụng video call được thêm tính năng Phòng chờ (Waiting Room) và 2 cài đặt mật khẩu. Theo một báo cáo khác, một vài kẻ xấu đã sử dụng các nền tảng truyền thông xã hội như Instagram và Twitter để tổ chức các chiến dịch quấy rối trên Zoom.



Ngày 5 tháng 4




Zoom đón nhận dấu hiệu tiêu cực khi nhiều trường học bắt đầu cấm ứng dụng này. Lệnh cấm này đến từ  Sở Giáo dục Thành phố New York  sau cảnh báo của FBI về các lớp học trực tuyến bị hack. Chính quyền cũng khuyến nghị giáo viên sử dụng Microsoft Teams.
Cũng trong ngày 5 tháng 4: Trong một cuộc phỏng vấn, CEO Eric S. Yuan một lần nữa nói rằng phần mềm Zoom không dành cho mục đích sử dụng đại trà. Ông nói thêm rằng,  mặc dù có ý định tốt, nhưng Zoom đã có những bước đi sai lầm . Yuan cũng nói rằng Zoom sẽ khắc phục tất cả các vấn đề trong những ngày tới.

Ngày 8 tháng 4



Bộ Ngoại giao Đức  đã đưa ra lệnh hạn chế sử dụng ứng dụng hội nghị trực tuyến Zoom trong một bản thông báo nội bộ cho nhân viên. Cơ quan này cho rằng rằng các điểm yếu về bảo mật và bảo vệ dữ liệu khiến cho việc sử dụng nó quá rủi ro.



Tồi tệ hơn, công ty Zoom Video Communications Inc đã  lãnh một “cú tát” đau đớn bởi chính cổ đông của mình . Được biết, vị này đã đệ đơn kiện, cáo buộc ứng dụng Zoom vì đã “khẳng định sai sự thật” về các tiêu chuẩn bảo mật của nó và không minh bạch rằng nó không được  mã hóa đầu cuối .



Zoom Video Communications Inc. bị kiện bởi chính cổ đông của công ty



Ngày 9 tháng 4



Thượng viện Hoa Kỳ  khuyên các thành viên không sử dụng ứng dụng gọi video Zoom do các vấn đề bảo mật và quyền riêng tư. Họ được yêu cầu tìm một dịch vụ thay thế để làm việc từ xa.



Trong khi đó, Zoom tung ra một bản cập nhật loại bỏ số ID cuộc họp khỏi thanh tiêu đề để không người ngoài nào có thể xem ID cho các mục đích xấu. Zoom cũng giới thiệu một button có tên “Security” – nơi tập hợp tất cả các chức năng bảo mật quan trọng của app.



Ngày 9 tháng 4



Thượng viện Hoa Kỳ  khuyên các thành viên không sử dụng ứng dụng gọi video Zoom do các vấn đề bảo mật và quyền riêng tư. Họ được yêu cầu tìm một dịch vụ thay thế để làm việc từ xa.



Trong khi đó, Zoom tung ra một bản cập nhật loại bỏ số ID cuộc họp khỏi thanh tiêu đề để không người ngoài nào có thể xem ID cho các mục đích xấu. Zoom cũng giới thiệu một button có tên “Security” – nơi tập hợp tất cả các chức năng bảo mật quan trọng của app.



Chỉ trong vỏn vẹn 20 ngày, Zoom App đã mất đi đà tăng trưởng “trời cho” và trở nên ít đáng tin hơn so với các chính phủ, doanh nghiệp, và người dùng. Dĩ nhiên, đây không phải là dấu chấm hết cho ứng dụng video hội thảo trực tuyến, nhưng nó cũng là một bài học đắt giá cho ban lãnh đạo của chính công ty.



Bảo mật và quyền riêng tư cá nhân không phải động lực chính thúc đẩy sự tăng trưởng của một ứng dụng, nhưng nó là sự đảm bảo cho bất kỳ một sự tăng trưởng đột phá nào.



Bảo vệ người dùng là bảo vệ sản phẩm, đó cũng là cách tốt nhất để bảo vệ sự thịnh vượng của doanh nghiệp.



Bài viết gốc: https://cystack.net/vi/resource/timeline-su-co-bao-mat-cua-zoom/



Nguyen Dang



Infographics by Yen Ha
The post Toàn cảnh bê bối bảo mật của ứng dụng Zoom video conference appeared first on SecurityDaily .