Mắc lỗi đặt tên ngớ ngẩn, 15.000 video hội thoại trên Zoom bị lộ trên web mở

Theo báo cáo mới từ tờ The Washington Post, hàng nghìn đoạn video về các cuộc họp trên Zoom đang bị lộ diện trên web mở - cho phép bất kỳ ai cũng có thể xem được chúng. Những cuộc gọi video này bao gồm cả các cuộc đàm phán kinh doanh, các cuộc hội thoại của bạn bè, những buổi trị liệu từ xa, … hàng nghìn đoạn video như vậy đã được đăng tải công khai do lỗi ngớ ngẩn của Zoom.

Không chỉ được lưu trên đám mây không bảo mật S3 của Amazon, các đoạn video này còn được đặt tên mặc định theo một cách giống hệt nhau. Dựa vào đó, nhà nghiên cứu bảo mật của tờ Washington Post, Patrick Jackson đã có thể tìm thấy 15.000 đoạn video khác nhau chỉ bằng một công cụ tìm kiếm đơn giản. Tuy nhiên, Washington Post không tiết lộ tên mặc định mà Zoom sử dụng cho các video này.

Tồi tệ hơn, khi hàng nghìn clip trong số đó còn bị đăng tải lên các trang web chia sẻ video như YouTube và Vimeo – nghĩa là ai cũng có thể xem được chúng.

Tuy vậy điều đáng chú ý là những đoạn video này bị đăng tải lên do một sơ suất nào đó từ chính người dùng. Các đoạn video này thường được lưu trong máy tính người dùng, và dường như vô tình được upload lên internet. Chỉ những người dùng trả phí của Zoom mới được lưu video trên máy chủ đám mây của công ty, và các đoạn video này không bị lộ như các clip trên.

Ngay cả như vậy, việc Zoom đặt tên các đoạn video tương tự nhau đến mức khiến chúng dễ dàng bị tìm ra trên các nền tảng đám mây không bảo mật là một lỗi thiết kế khó có thể bỏ qua.

Tờ Washington Post đã nói với Zoom về vấn đề này, nhưng vẫn chưa rõ điều này có làm họ thay đổi cách đặt tên các đoạn video hay liệu họ có đăng tải nó trên những dịch vụ đám mây có bảo mật của Amazon hay không.

Trong tuyên bố của mình, Zoom cho biết: "Zoom sẽ thông báo với những người tham gia cuộc họp khi người tổ chức cuộc họp chọn ghi hình lại cuộc họp này, và cung cấp phương thức bảo mật, an toàn để người tổ chức cuộc họp lưu trữ các đoạn video. Cuộc họp trên Zoom chỉ được ghi lại theo lựa chọn của người tổ chức, hoặc trên máy tính của người tổ chức hoặc trên đám mây của Zoom."

"Nếu sau đó, người tổ chức cuộc họp lựa chọn đăng tải các đoạn video đó ở bất kỳ đâu, chúng tôi đã khuyên họ hết sức thận trọng và minh bạch với những người tham gia cuộc họp, cân nhắc cẩn thận tới việc liệu cuộc họp có chứa các thông tin nhạy cảm hay không và những kỳ vọng hợp lý của người tham gia cuộc họp."

Trong khi đang tăng trưởng mạnh mẽ do nhu cầu làm việc từ xa của mọi người, Zoom đang gặp hàng loạt vấn đề về quyền riêng tư và khả năng bảo mật của mình. Chỉ mới ngày hôm qua thôi, Zoom đã phải sửa lại các vấn đề liên quan đến malware cài đặt phần mềm không được phép trên MacOS, vá một lỗ hổng của phần mềm trên , và nghi ngờ làm tiết lộ hồ sơ LinkedIn của người dùng.

Các vấn đề bảo mật và quyền riêng tư của Zoom tồi tệ đến mức công ty đã phải cam kết sẽ dành ra 90 ngày tới để tập trung vào việc sửa chữa các vấn đề này, thay vì bổ sung hay phát  triển tính năng mới.

Tham khảo The Verge