Zoom đã bị chỉ trích vì những "lỗ hổng bảo mật và thiết kế không hợp lý" dẫn đến sự kiểm tra nghiêm ngặt đối với phần mềm này.[62][63] Nhiều vấn đề của Zoom "xoay quanh những tính năng với mục đích giảm thiểu trở ngại trong các cuộc họp", mà theo Citizen Lab "cũng làm giảm sự riêng tư hay bảo mật".[64][65] Tháng 3 năm 2020, Tổng chưởng lý New York Letitia James bắt đầu một cuộc điều tra về tính bảo mật và riêng tư của Zoom,[66] kết thúc này 7 tháng 5 năm 2020, với kết quả là Zoom không công nhận thực hiện sai, nhưng đồng ý tăng cường các biện pháp bảo mật.[67] Tháng 4 năm 2020, CEO Yuan xin lỗi vì những vấn đề về bảo mật, khẳng định một số vấn đề này là do Zoom được thiết kế cho "các tổ chức lớn với hỗ trợ IT đầy đủ",[68] và nói thêm rằng tháng 12 năm 2019, Zoom có nhiều nhất là 10 triệu người dùng mỗi ngày, đến tháng 3 năm 2020, con số này tăng lên hơn 200 triệu, khiến công ty gặp nhiều trở ngại trong việc vận hành phần mềm này.[69] Zoom đồng ý tập trung vào riêng tư dữ liệu và phát hành một bản báo cáo minh bạch.[70][71][72][73] Tháng 4 năm 2020, công ty phát hành Zoom 5.0, giải quyết một số vấn đề bảo mật và riêng tư. Phiên bản này mặc định bật mật khẩu, cải thiện mã hóa, và một biểu tượng bảo mật cho các cuộc họp.[74] Tháng 9 năm 2020, Zoom mở rộng hỗ trợ xác thực hai yếu tố từ phiên bản web cho các ứng dụng máy tính và điện thoại.[75]

Tính đến tháng 4 năm 2020, một số công ty, trường học, và cơ quan chính phủ đã hạn chế hoặc cấm việc sử dụng Zoom nội bộ, bao gồm Google,[76] Siemens AG,[77] Lực lượng Quốc phòng Úc, Bộ Ngoại giao Đức, Bộ Nội vụ Ấn Độ, SpaceX, và Sở Giáo dục Thành phố New York.[78][79] Tháng 5 năm 2020, Sở Giáo dục Thành phố New York cho phép dùng Zoom trở lại sau khi công ty giải quyết các vấn đề bảo mật và riêng tư.[80]

Đến tháng 9 năm 2020, Zoom có 370.200 khách hàng là tổ chức từ 10 người trở lên, tăng 458 phần trăm so với cùng kỳ năm 2019. Doanh thu của công ty tăng 355 phần trăm len663,5 triệu USD, vượt xa con số dự tính 500,5 triệu USD của các nhà phân tích.[81]

Riêng tư

Zoom đã bị chỉ trích vì chính sách bảo mật và chia sẻ dữ liệu của mình, cũng như cho phép chủ cuộc họp xâm phạm quyền riêng tư của những người tham gia vào cuộc gặp.[82][83][84] Ngoài ra còn có nguy cơ tự tiện theo dõi học sinh và xâm phạm quyền của học sinh trong Đạo luật Quyền và Riêng tư Giáo dục Gia đình (FERPA).[85] Theo công ty, dịch vụ video tuân thủ FERPA, và chỉ thu thập và lưu trữ dữ liệu người dùng để hỗ trợ kỹ thuật.[85]

Tháng 3 năm 2020, một bài báo Motherboard phát hiện ra ứng dụng iOS của công ty gửi dữ liệu thiết bị cho Facebook khi khởi động, bất kể liệu ứng dụng có được kết nối với tài khoản Facebook hay không, mà không cho người dùng biết.[86] Zoom trả lời bằng cách phát hành bản vá để loại bỏ SDK sau khi biết rằng nó đang thu thập dữ liệu thiết bị không cần thiết. Công ty khẳng định rằng SDK thu thập dữ liệu về thông số của thiết bị người dùng (như là tên mẫu và phiên bản hệ điều hành) nhằm mục đích tối ưu dịch vụ, chứ không thu thập dữ liệu cá nhân.[20][87][88] Cũng trong tháng, Zoom bị một người dùng kiện lên Tòa Liên bang Hoa Kỳ về việc tiết lộ thông tin cá nhân cho bên thứ ba như Facebook một cách bí mật và bất hợp pháp.[89] Zoom trả lời rằng họ "chưa từng bán dữ liệu người dùng và không có ý định bán dữ liệu người dùng trong tương lai".[90]

Tháng 4 năm 2020, Zoom được phát hiện tự động gửi tên và email của người dùng cho LinkedIn, cho phép một số người tham gia tiếp cận được thông tin hồ sơ LinkedIn của những người dùng khác một cách bí mật.[91] The companies disabled their integration.[92] Tháng 5 năm 2020, Ủy ban Thương mại Liên bang (FTC) thông báo sẽ điều tra các chính sách riêng tư của Zoom.[93] FTC cho rằng từ ít nhất là 2016, "Zoom giữ những chìa mã hóa cho phép Zoom giải mã nội dung của những cuộc gọi của khách hàng, và trang bị Zoom Meetings với mức độ mã hóa thấp hơn đã hứa".[94] On ngày 9 tháng 11 năm 2020, a settlement was reached, requiring the company to implement additional security measures.[95]

Bảo mật

Tháng 11 năm 2018, một lỗ hổng bảo mật được phát hiện, cho phép kẻ tấn công từ xa không được xác thực làm giả thông điệp UDP, cho phép kẻ tấn công đuổi người tham gia khỏi cuộc họp, làm giả tin nhắn cho người dùng, hoặc chiếm đoạt màn hình được chia sẻ.[96][97] Công ty nhanh chóng phát hành bản sửa lỗi sau khi lỗ hổng được phát hiện.[98]

Tháng 7 năm 2019, nhà nghiên cứu bảo mật Jonathan Leitschuh tiết lộ một lỗ hổng zero-day cho phép một trang web bất kỳ buộc người dùng macOS phải tham gia một cuộc gọi Zoom bật camera video mà không có sự chấp thuận của người dùng.[99] Cố gỡ cài đặt phần mềm Zoom trên macOS sẽ khiến nó tự động cài đặt lại trong nền, sử dụng một máy chủ web được ẩn trong máy trong lần cài đặt đầu tiên. Sau khi nhận phản hồi tiêu cực, Zoom vá lỗ hổng này và loại bỏ máy chủ ẩn, cho phép gỡ cài đặt hoàn toàn phần mềm.[100]

Tháng 4 năm 2020, các nhà nghiên cứu bảo mật tìm thấy những lỗ hổng có thể khiến chứng chỉ của người dùng Windows bị lộ.[101][102] Một lỗ hổng khác cho phép truy cập camera và microphone mà không có sự cho phép của người dùng.[103][104] Zoom phát hành bản vá lỗi vào tháng 4 năm 2020.[105] Cùng tháng, Cục Điều tra Liên bang (FBI) đưa ra cảnh báo về "Zoombombing", việc một người ngoài ý muốn tham dự và làm gián đoạn cuộc gặp.[106][107][108][109] Motherboard báo cáo rằng có hai lỗi zero-day trên macOS và Windows, được bán với giá 500.000 USD ngày 15 tháng 4 năm 2020.[110] Những người môi giới lỗi bảo mật bán quyền truy cập lỗ hổng của Zoom cho phép truy cập máy tính người dùng từ xa.[18] Các hacker cũng đăng hơn tên và mật khẩu của hơn 500.000 tài khoản Zoom để bán trên dark web.[18] Trước lượng lớn các vấn đề bảo mật và riêng tư này, Zoom bắt đầu một kế hoạch bảo mật toàn diện, bao gồm việc tư vấn với Luta Security, Trail of Bits, cựu Trưởng phòng An ninh Facebook Alex Stamos, cựu giám đốc công nghệ riêng tư toàn cầu của Google Lea Kissner, BishopFox, NCC Group, và nhà mã hóa Matthew D. Green của Đại học Johns Hopkins.[111] Ngày 20 tháng 4 năm 2020, tờ New York Times viết rằng các kỹ sư Dropbox đã truy tìm những lổ hỗng bảo mật của Zoom trong hơn hai năm, buộc Zoom càng phải tăng tốc giải quyết những vấn đề này, và trả tiền cho những người tìm ra lỗi trong phần mềm của họ. Trong cùng bài viết, New York Times nói các nhà nghiên cứu bảo mật khen Zoom đã cải thiện thời gian phản hồi, và nhanh chóng vá những lỗi gần đây và loại bỏ những tính năng có khả năng xâm phạm quyền riêng tư của người dùng.[18] Tháng 4 năm 2020, Zoom để nhiều tùy chọn bảo mật bật theo mặc định, và đưa ra các hướng dẫn cho người dùng để ngăn chặn Zoombombing.[17][20] Trong một bài blod ngày 1 tháng 4 năm 2020, Yuan thông báo ngừng phát hành tính năng mới trong 90 ngày, để tập trung sửa các lỗi riêng tư và bảo mật trong nền tảng của mình.[112] Ngày 1 tháng 7 năm 2020, công ty khẳng định đã đưa ra 100 tính năng bảo mật mới trong giai đoạn 90 ngày này. Những nỗ lực bao gồm mã hóa đầu cuối cho tất cả người dùng, mặc định bật mật khẩu cuộc họp, cho người dùng khả năng chọn trung tâm dữ liệu, tư vấn với các chuyên gia bảo mật, thành lập một hội đồng CISO, cải thiện chương trình săn lỗi, và làm việc với các bên thứ ba để kiểm tra độ bảo mật. Yuan cũng khẳng định Zoom sẽ phát hành một báo cáo minh bạch trong năm 2020.[113][114]

Kiểm duyệt

Một bản báo cáo tháng 4 năm 2020 của Citizen Lab cảnh báo rằng việc hầu hết nghiên cứu và phát triển của Zoom diễn ra tại Trung Quốc có thể "khiến Zoom chịu áp lực từ chính quyền địa phương".[64] Tài khoản của Lý Trác Nhân, chủ tịch Đảng Lao động Hồng Kông bị đóng từ đầu tháng 5 năm 2020, và tài khoản của nhà hoạt động nhân quyền Chu Phong Tỏa bị đóng vào tháng 6, sau khi anh tổ chức một sự kiện thảo luận về sự kiện Thiên An Môn.[115][116] Tháng 6 năm 2020, Zoom thừa nhận rằng họ đã đóng hai tài khoản của người dùng Mỹ và một của người dùng Hồng Kông liên quan đến các cuộc họp thảo luận cuộc biểu tình Thiên An Môn 1989,[117] các tài khoản sau đó được mở lại, và công ty nói rằng trong tương lai "sẽ có một quy trình mới để xử lý những tình huống tương tự".[118] Zoom cũng thông báo về một tính năng mới có thể ngăn người gọi từ các quốc gia nhất định tham gia vào cuộc họp bất hợp pháp ở quốc gia đó.[117]