Zoom tiết lộ rằng họ đã vá một lỗ hổng có thể cho phép kẻ tấn công mạo danh các tài khoản kinh doanh hợp pháp để lừa đảo thông tin người dùng, đánh cắp dữ liệu và lây nhiễm phần mềm độc hại cho nhân viên.

Lỗ hổng bảo mật này được phát hiện bởi công ty bảo mật Check Point và tiết lộ cho Zoom, về cơ bản sự cố nằm trong tính năng Vanity URL của Zoom. Tính năng này cho phép các người dùng đăng ký gói doanh nghiệp tạo đường dẫn tùy chỉnh cho các cuộc họp của công ty họ, chẳng hạn như tencongty.zoom.us. Thật không may, tin tặc chỉ cần thực hiện một vài sai sót nhỏ là có thể mạo danh những lời mời để tấn công và không cần nhiều thông tin về người dùng.

Kẻ tấn công có thể tạo đường dẫn đến cuộc họp một cách bình thường theo đúng tiêu chuẩn (chẳng hạn như https://zoom.us/j/##########) và chỉ cần thay đổi tên miền phụ của bất kỳ tổ chức hợp pháp nào vào trước URL (tencongty. zoom.us/j/##########) và cuộc họp vẫn có thể truy cập được một cách dễ dàng.

Từ đó người dùng sẽ dễ dàng bị đánh lừa rằng họ nhận được nhận lời mời họp từ chính những tổ chức công ty mà họ biết. Và tin tặc có thể đánh cắp thông tin xác thực hoặc thông tin nhạy cảm từ người dùng. Ngoài việc giả mạo các liên kết cuộc họp theo cách thủ công, những kẻ tấn công cũng có thể lạm dụng giao diện web Zoom tùy chỉnh cho các doanh nghiệp để lừa người dùng tham gia các cuộc họp độc hại.

Zoom hiện đã sửa lỗ hổng, nhưng vẫn chưa rõ liệu tin tặc có thể khai thác chúng trong thực tế hay không. Đây là một lần nữa dịch vụ hội nghị trực tuyến này lại gặp rắc rối với sự cố bảo mật từ khi trở nên được ưa chuộng trong mùa dịch Covid-19.