La popolare app di videochiamate Zoom avrebbe fatto trapelare alcune informazioni private dei suoi utenti, tra cui indirizzi email e fotografie, e consentito a sconosciuti di avviare videochiamate con altri utenti a causa di un bug nella gestione dei contatti. Il problema sembra colpire la gestione dell'app in merito agli indirizzi email che il software riconosce come appartenenti alla stessa azienda. Un elemento che il servizio ricava dall'indirizzo email, che in un'azienda generalmente riporta il nome della stessa dopo la chiocciola. Il problema è che un bug ha raggruppato alcuni sconosciuti iscritti con l'email personale, rendendo possibile accedere alle rispettive mail e foto e consentendo di avviare videochiamate.
È ancora poco chiaro quanto sia diffusa questa problematica e quanti domini siano coinvolti. Un utente ha spiegato a Vice di visualizzare 995 account nella sua lista di utenti appartenenti alla stessa azienda, con una grande predominanza di domini provenienti dall'Olanda. Zoom avrebbe bloccato questi particolari domini dopo l'articolo di Vice. "Zoom mantiene una lista di domini blacklistati e identifica proattivamente e regolarmente nuovi domini" ha sottolineato un portavoce dell'azienda, spiegando il processo con il quale un dominio viene indicato come pubblico e quindi non appartenente a una singola azienda.
Per questo, per esempio, il problema non si pone con indirizzi come gmail.com o yahoo.com: questi sono stati blacklistati subito e quindi vengono riconosciuti come account personali e non come profili legati all'azienda "gmail" o "yahoo". Il rapporto tra Zoom e sicurezza, però, è burrascoso da diverso tempo. In passato il software è stato protagonista di attacchi hacker tramite siti web malevoli e bug che consentivano di ascoltare le chiamate. In questi giorni Zoom sta anche rivelando che il servizio non è criptato end-to-end come invece indicato dal sito ufficiale. Zoom sarebbe criptato TLS, cioè tra utente e server, similmente a quanto avviene con Gmail e Facebook. In breve, significa che l'azienda potrebbe teoricamente accedere ai dati delle chiamate e, in generale, il sistema è meno sicuro perché non completamente criptato.
