Een beveiligingslek in videoconferentiesoftware Zoom maakte het voor gebruikers die nog niet waren toegelaten tot een vergadering toch mogelijk om mee te kijken. Zoom biedt een “wachtkamer” aan, waar alle personen die aan een vergadering willen deelnemen kunnen worden ondergebracht. De host van de meeting kan dan de mensen in de wachtkamer toegang geven tot de meeting. Dit moet directe toegang tot de vergadering voorkomen.
Het bleek dat de Zoom-servers automatisch een live videostream van de vergadering, evenals de decoderingssleutel van de vergadering, naar alle gebruikers in de wachtkamer stuurden. Ze zouden de vergadering kunnen bekijken, ook als de gastheer hier geen toestemming voor had gegeven. Zoom raadt het gebruik van de wachtkamer aan om misbruik zoals Zoom-bombardementen te voorkomen. De audiostream van de vergadering is niet naar de mensen in de wachtkamer gestuurd.
Onderzoekers van Citizen Lab, een laboratorium dat onderdeel uitmaakt van de Universiteit van Toronto, ontdekten de kwetsbaarheid en meldden dit begin april aan Zoom. Op 7 april voerde Zoom een beveiligingsupdate uit op zijn eigen servers, waarmee de kwetsbaarheid werd opgelost. Als gevolg hiervan heeft Citizen Lab nu de details van de beveiligingsinbreuk openbaar gemaakt.
Eerder publiceerde Citizen Lab een uitgebreid rapport over allerlei problemen met Zoom, waaronder de gebruikte encryptie en het feit dat encryptiesleutels van niet-Chinese gebruikers naar Chinese servers werden gestuurd. Daarnaast blijkt dat Zoom, een Amerikaans bedrijf, eigenaar is van drie Chinese bedrijven van zo'n 700 medewerkers, die worden betaald om de Zoom-software te ontwikkelen. Inmiddels is Zoom gestopt met het gebruik van Chinese servers voor niet-Chinese gebruikers. Daarnaast zegt het bedrijf end-to-end encryptie te gaan implementeren, maar dat kan nog maanden duren.