Eine Sicherheitslücke in der Videokonferenzsoftware Zoom machte es möglich, dass Nutzer, die noch nicht zu einem Meeting zugelassen waren, trotzdem zuschauen konnten. Zoom bietet einen „Warteraum“, in dem alle Personen untergebracht werden können, die an einem Meeting teilnehmen möchten. Der Gastgeber des Meetings kann dann Personen im Wartezimmer Zugang zum Meeting gewähren. Damit soll der direkte Zugriff auf das Meeting verhindert werden.
Es stellte sich heraus, dass die Zoom-Server automatisch einen Live-Videostream des Meetings sowie den Entschlüsselungsschlüssel des Meetings an alle Benutzer im Wartezimmer gesendet haben. Sie könnten sich das Meeting ansehen, auch wenn der Gastgeber dies nicht erlaubt hätte. Zoom empfiehlt die Nutzung des Wartezimmers, um Missbrauch wie Zoom-Bombing zu verhindern. Der Audiostream der Besprechung wurde nicht an Personen im Wartezimmer gesendet.
Forscher des Citizen Lab, einem Labor der University of Toronto, entdeckten die Schwachstelle und meldeten sie Anfang April an Zoom. Am 7. April führte Zoom ein Sicherheitsupdate auf den eigenen Servern durch, wodurch die Schwachstelle behoben wurde. Infolgedessen hat Citizen Lab nun die Details der Sicherheitsverletzung öffentlich gemacht.
Zuvor veröffentlichte Citizen Lab einen ausführlichen Bericht über alle Arten von Problemen mit Zoom, einschließlich der verwendeten Verschlüsselung und der Tatsache, dass Verschlüsselungsschlüssel von nicht-chinesischen Benutzern an chinesische Server gesendet wurden. Darüber hinaus scheint Zoom, ein amerikanisches Unternehmen, drei chinesische Unternehmen mit rund 700 Mitarbeitern zu besitzen, die für die Entwicklung der Zoom-Software bezahlt werden. Inzwischen hat Zoom aufgehört, chinesische Server für nicht-chinesische Benutzer zu verwenden. Darüber hinaus will das Unternehmen eine Ende-zu-Ende-Verschlüsselung implementieren, was aber noch Monate dauern kann.