Uma vulnerabilidade de segurança no software de videoconferência Zoom possibilitou que usuários que ainda não foram admitidos em uma reunião assistissem de qualquer maneira. O Zoom oferece uma “sala de espera”, onde todas as pessoas que quiserem participar de uma reunião podem ser acomodadas. O organizador da reunião pode então dar às pessoas na sala de espera acesso à reunião. Isso deve impedir o acesso direto à reunião.
Descobriu-se que os servidores Zoom enviaram automaticamente uma transmissão de vídeo ao vivo da reunião, bem como a chave de descriptografia da reunião, para todos os usuários na sala de espera. Eles poderiam assistir à reunião, mesmo que o anfitrião não tivesse dado permissão para isso. O Zoom recomenda o uso da sala de espera para evitar abusos, como o bombardeio do Zoom. O fluxo de áudio da reunião não foi enviado para as pessoas na sala de espera.
Pesquisadores do Citizen Lab, laboratório que faz parte da Universidade de Toronto, descobriram a vulnerabilidade e a relataram ao Zoom no início de abril. Em 7 de abril, o Zoom realizou uma atualização de segurança em seus próprios servidores, que resolveu a vulnerabilidade. Como resultado, o Citizen Lab tornou públicos os detalhes da violação de segurança.
Anteriormente, o Citizen Lab publicou um extenso relatório sobre todos os tipos de problemas com o Zoom, incluindo a criptografia usada e o fato de que as chaves de criptografia de usuários não chineses foram enviadas para servidores chineses. Além disso, parece que a Zoom, uma empresa americana, possui três empresas chinesas de cerca de 700 funcionários, que são pagas para desenvolver o software Zoom. Enquanto isso, o Zoom parou de usar servidores chineses para usuários não chineses. Além disso, a empresa diz que implementará criptografia de ponta a ponta, mas isso ainda pode levar meses.