Bất chấp bê bối, cổ phiếu Zoom vẫn bật tăng khi chứng khoán Mỹ lao dốc
Ngày 15/4, thị trường chứng khoán Mỹ đồng loạt sụt giảm khi số liệu vĩ mô tiêu cực và lợi nhuận của nhiều ngân hàng sa sút, khiến giới đầu tư lo ngại về tác động của COVID-19 đối với nền kinh tế Mỹ.
Mặc dù vậy, giá cổ phiếu Zoom vẫn tăng 9,67 USD trong phiên giao dịch và tăng thêm 1,09 USD trong khoảng thời gian giao dịch mở rộng, nâng tổng mức tăng giá lên 10,76 USD (tương đương mức tăng 7,54%). Giá cổ phiếu của Zoom hôm 15/4 là 152,65 USD.
Giá cổ phiếu của Zoom tăng mạnh trong bối cảnh tin tặc đã lấy cắp mật khẩu của khoảng 500.000 tài khoản Zoom và rao bán trên chợ đen và các diễn đàn tin tặc. Người mua có thể nhận 1.000 ID và mật khẩu chỉ với mức giá 0,002 USD.
Các chuyên gia từ Cyble nhận định phần lớn tài khoản mà tin tặc rao bán có nguồn gốc từ vụ tấn công lợi dụng lỗi bảo mật của công cụ này trước đó.
Đây không phải lần đầu tiên Cyble thấy các tài khoản Zoom được lưu hành trên các trang chợ đen, dù số lượng báo cáo trước đó ít hơn rất nhiều so với hiện tại. Con số hiện nay đã lên đến hàng trăm ngàn. Thực tế ấy trở thành mối đe dọa nghiêm trọng với người dùng.
Hôm 14/4, Cục An toàn thông tin, Bộ Thông tin và Truyền thông đã cảnh báo các Bộ, ngành, địa phương và các tổ chức, cá nhân về rủi ro bảo mật thông tin từ phần mềm họp trực tuyến Zoom.
Phó Cục trưởng Cục An toàn thông tin, ông Nguyễn Khắc Lịch, xác nhận, ngày 14/4, Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam thuộc Cục nhận thông tin hơn 500.000 tài khoản Zoom đã lọt thông tin cá nhân của người sử dụng. Thông tin bao gồm email, mật khẩu, đường dẫn URL các cuộc họp và mật khẩu kèm theo.
Ông Lịch nói một số lỗ hổng bảo mật nghiêm trọng đang tồn tại trên nền tảng Zoom như mã hóa dữ liệu đầu cuối kém, dễ dàng bị dò quét ID cuộc họp, lỗ hổng liên quan đến đường dẫn UNC (Universal Naming Convention).
Ngay từ đầu năm 2020, Zoom đã công bố nhiều lỗ hổng bảo mật của ứng dụng song không khắc phục triệt để. Một trong những lỗi ấy là CVE-2020-11500 - cho phép tin tặc xem hình ảnh trong cuộc họp mà không cần tên, mật khẩu. Hiện tại Zoom vẫn chưa cung cấp bản vá cho lỗi.
Lỗ hổng CVE-2020-11469 tồn tại trên phiên bản Zoom 4.6.8 giúp tin tặc chiếm quyền điều khiển máy tính của người dùng từ xa. Nó cũng cho phép người ngoài có thể truy cập trái phép vào camera, micro của người dùng.
"Chúng tôi nhận ra rằng Zoom đã không đáp ứng trọn vẹn sự kì vọng của cộng đồng và của chính công ty về bảo mật và bảo vệ quyền riêng tư của người dùng", Eric Yuan, giám đốc điều hành Zoom, phát biểu với CNN hôm 4/4.
Eric Yuan khẳng định Zoom sẽ ngừng bổ sung tính năng mới trong 90 ngày tới để tập trung vào nỗ lực xử lí các vấn đề bảo mật và bảo vệ dữ liệu cá nhân. Công ty sẽ công bố cáo bạch, giống như bản cáo bạch mà các tập đoàn công nghệ lớn như Facebook, Google, Twitter công bố định kì.
Zoom cũng xin lỗi về lời khẳng định sai sự thật rằng công ty mã hóa cả hai chiều trong mọi cuộc họp, nghĩa là chỉ những người tham dự cuộc họp thấy nội dung trên nền tảng. Một số chuyên gia an ninh mạng nghi ngờ rằng Zoom không có khả năng bảo mật tới mức ấy. Theo họ, kiểu mã hóa mà Zoom áp dụng cho phép công ty lấy thông tin của người dùng qua máy chủ của họ.
Oded Gal, giám đốc sản phẩm của Zoom, thừa nhận hôm 1/4 rằng Zoom không giải mã thông tin nếu mọi thành viên trong một cuộc họp đều truy cập vào ứng dụng và nếu cuộc họp không được ghi lại. Việc mã hóa hai chiều cũng không khả thi nếu một thành viên mở Zoom trên điện thoại hay một thiết bị ngoại vi khác.