Cục An toàn thông tin cảnh báo rủi ro khi sử dụng phần mềm họp trực tuyến Zoom
Hôm 14/4, Cục An toàn thông tin, Bộ Thông tin và Truyền thông đã cảnh báo các Bộ, ngành, địa phương và các tổ chức, cá nhân về rủi ro bảo mật thông tin từ phần mềm họp trực tuyến Zoom.
Ông Nguyễn Khắc Lịch, Phó Cục trưởng Cục An toàn thông tin xác nhận, ngày 14/4, Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam thuộc Cục nhận thông tin hơn 500.000 tài khoản Zoom đã lọt thông tin cá nhân của người sử dụng. Thông tin bao gồm email, mật khẩu, đường dẫn URL các cuộc họp và mật khẩu kèm theo.
Zoom đang là phần mềm phổ biến cho học trực tuyến, tổ chức hội họp và làm việc từ xa. Tuy nhiên, ông Lịch nhấn mạnh phần mềm này tồn tại một số lỗ hổng bảo mật nghiêm trọng như mã hóa dữ liệu đầu cuối kém, dễ dàng bị dò quét ID cuộc họp, lỗ hổng liên quan đến đường dẫn UNC (Universal Naming Convention).
Cục An toàn thông tin khuyến nghị người dùng đã sử dụng phần mềm Zoom đổi mật khẩu phức tạp, tránh sử dụng chung mật khẩu với các tài khoản khác. Ảnh: Solvico
Ngay từ đầu năm 2020, Zoom đã công bố nhiều lỗ hổng bảo mật của ứng dụng song không khắc phục triệt để. Một trong những lỗi ấy là CVE-2020-11500 - cho phép tin tặc xem hình ảnh trong cuộc họp mà không cần tên, mật khẩu. Hiện tại Zoom vẫn chưa cung cấp bản vá cho lỗi.
Lỗ hổng CVE-2020-11469 tồn tại trên phiên bản Zoom 4.6.8 giúp tin tắc có thể chiếm quyền điều khiển máy tính của người dùng từ xa. Nó cũng cho phép người ngoài có thể truy cập trái phép vào camera, micro của người dùng.
Cục An toàn Thông tin khuyến cáo các cơ quan, tổ chức nhà nước không nên sử dụng phần mềm Zoom để phục vụ các buổi họp trực tuyến. Các doanh nghiệp, tổ chức, cá nhân cũng cần cân nhắc sử dụng phần mềm này.
Khi sử dụng các phần mềm học, họp trực tuyến, người dùng cần cập nhật lên phiên bản mới nhất, tải ứng dụng từ trang chính thống, sử dụng mật khẩu phức tạp và không chia sẻ thông tin phòng họp, học trực tuyến rộng rãi, theo Cục An toàn Thông tin.
Khuyến nghị của Cục An toàn Thông tin là các cơ quan, tổ chức, doanh nghiệp cũng được khuyến nghị ưu tiên lựa chọn các sản phẩm phần mềm học trực tuyến, tổ chức hội họp và làm việc từ xa do doanh nghiệp uy tín sản xuất, đặc biệt là các sản phẩm do doanh nghiệp uy tín trong nước cung cấp như FPT, Viettel, VNPT, MobiFone, VNG, CMC, Nhân Hòa.
Riêng với các doanh nghiệp cung cấp phần mềm học trực tuyến, tổ chức hội họp và làm việc từ xa, Cục An toàn thông tin đề nghị họ trang bị đầy đủ các tính năng bảo mật cho phần mềm, bảo đảm an toàn thông tin cho người sử dụng, có đội ngũ kỹ thuật để hỗ trợ kịp thời cho khách hàng.
Dữ liệu mới đây cho thấy các tổ chức đang rao bán số lượng cực lớn tài khoản Zoom trên internet. Trên một diễn đàn ngày 13/4, hacker đã rao bán 500.000 tài khoản người dùng Zoom.
BleepingCompute mô tả rằng, tin tặc sử dụng nhiều cách để truy cập vào tài khoản Zoom của người dùng. Chẳng hạn, chúng đăng nhập bằng cách sử dụng tài khoản rò rỉ trên mạng trong đợt tấn công trước đó.
Hôm 27/3, ứng dụng Zoom trên iOS bị phát hiện âm thầm gửi dữ liệu người dùng đến Facebook, bao gồm thông tin chi tiết về thiết bị, múi giờ, thành phố, nhà mạng và số nhận dạng quảng cáo của người dùng. Ngày 1/4, trang Motherboard phát hiện Zoom còn tiết lộ địa chỉ email, hình ảnh người dùng cho người lạ.
The Intercept nhận thấy các cuộc gọi Zoom không được mã hóa đầu cuối, trái với những gì mà dịch vụ này khẳng định. Patrick Wardle, nhà nghiên cứu bảo mật của Jamf cũng phát hiện 2 lỗ hổng zero-day cho phép kẻ xấu chiếm quyền kiểm soát micro và webcam.
