A Zoom bejelentette, hogy kijavított egy komoly biztonsági hibát, amelynek segítségével a hackerek hitelesnek látszó céges meghívókat küldhettek szét online megbeszélésekre. A problémát a CheckPoint fedezte fel a Zoom egyik kiegészítő funkciójában, ami a cégek számára lehetővé teszi, hogy úgynevezett Vanity URL-t, vagyis a cég nevét tartalmazó zoomos aldomaint hozzanak létre, és ezt a konferencia-meghívókban is szerepeltessék.
A hackerek ezzel a lehetőséggel visszaélve úgy módosították a hiteles, regisztrált Vanity URL-t (pl: http://cégnév.zoom.com), hogy közvetlen hivatkozást tartalmazzon egy találkozóra, és ha az áldozat bedőlt a hamis meghívónak, eszközére kártékony kódot csempésztek, illetve adathalász támadást intéztek ellene.
Annak ellenére, hogy a mostani rést bevarrták, a biztonsági szakemberek arra figyelmeztetnek, hogy inkább ellenőrizzük kétszer is, hogy egy hirtelen beeső megbeszélés valós-e. Kicsit persze ciki vagy macerás lehet megkérdezni, hogy "főnök, tényleg lesz egy Zoom meetingünk holnap kettőkor?", de így biztosan kiderülhet, ha a nevében valaki más küldött átverős meghívót.
A Zoom népszerűsége a koronavírus-járvány nyomán hihetetlenül megugrott: míg decemberben naponta még csak körülbelül tízmillióan vettek részt zoomos találkozókon, áprilisban már 300 millióan "zoomoltak" naponta.
Biztonsági szempontból azonban a kezdetektől rengeteg kritika érte a szolgáltatást. A cég az utóbbi hónapokban nem győzte befoltozni a sebezhetőségeket, és egy külön testületet is létrehozott a biztonsági problémák kezelésére. Mindezeken felül azt is bejelentette, hogy a videobeszélgetések védelme érdekében teljes, végpontok közötti titkosítást (E2EE) vezet be. Ezt a szolgáltatást eleinte csak a fizetős ügyfeleknek akarta biztosítani, de a nagy nyomás hatására ügy döntött, minden felhasználó részesülni fog a fokozott védelemben.
