Người ta thường bảo ‘trong nguy có cơ’, nhưng thật ra ‘trong cơ cũng có nguy’, những rắc rối về bảo mật mà Zoom gặp phải trong tháng 3 vừa qua đã chứng minh điều đó.
Do dịch Covid-19, rất nhiều đất nước trên thế giới phải thực hiện ‘giãn cách xã hội’, kéo theo chuyện mọi người đều phải Work from home, khiến các ứng dụng họp và làm việc trực tuyến đắt hàng. Nhờ dễ sử dụng và có nhiều tiện ích lại có thể dùng miễn phí, Zoom vụt sáng trở thành ngôi sao to nhất trong thị trường ứng dụng họp hành trực tuyến.
Cuối tháng 3/2019, mức độ phổ biến của Zoom đã tăng nhiều đến mức: nó đứng đầu bảng xếp hạng Google Play Store, bỏ xa các đối thủ nặng ký như TikTok, WhatsApp và Facebook. Điều này diễn ra bất chấp sự tồn tại của các ứng dụng video call cũ như Microsoft Skype, Teams, Google Duo, Hangout Meets và các ứng dụng khác.
Tuy nhiên, đầu tháng 4/2018, nhiều tổ chức và Chính phủ đã cảnh báo về các sự cố bảo mật của Zoom – gọi là zoom-bombing, ví dụ: tin tặc có thể xâm nhập vào một lớp học trực tuyến qua Zoom, rồi gửi các tin nhắn, hình ảnh nhạy cảm, thậm chí tiết lộ địa chỉ của giáo viên; các nhà nghiên cứu an ninh mạng đã tiến hành kiểm tra và nhận thấy ứng dụng Zoom không hề có end-to-end encryption - chuẩn bảo mật bắt buộc của các ứng dụng nhắn tin hoặc gọi video online.
Vào ngày 3/4, Zoom đưa ra lời xin lỗi trong một bài đăng trên blog vì "những lo ngại về quyền riêng tư mà người dùng đang phải đối mặt". Giám đốc điều hành của công ty Eric S. Yuan xác nhận họ chưa sẵn sàng xử lý quá nhiều sự cố phát sinh (về bảo mật) khi có quá nhiều người dùng trong một khoảng thời gian ngắn.
Trong những ngày tiếp theo, dù Zoom gấp rút chạy đua để vá các lỗi bảo mật đó, nhưng liên tục có các lệnh cấm dùng Zoom từ Sở giáo dục New York – Mỹ và lệnh cấm nội bộ của Bộ ngoại giao Đức, rồi Thượng viện Hoa Kỳ cũng yêu cầu nhân viên sử dụng phần mềm khác thay Zoom.
Giám đốc điều hành Zoom - Eric S. Yuan. Ảnh: FT
Trước tình hình đó, ngoài lên tiếng chính thức xin lỗi các bên, Zoom cũng nhanh chóng chạy đua để vãn hồi niềm tin của người tiêu dùng, các tổ chức cũng như Chính phủ.
Hành động đầu tiên của lãnh đạo Zoom là thuê ông Alex Stamos – cựu Giám đốc an ninh của Facebook về làm cố vấn cho doanh nghiệp. Bên cạnh đó, họ nhanh chóng khởi động chiến dịch 90 ngày nâng cao bảo mật.
Đầu tháng 5/5, Zoom công bố các cải tiến mạnh mẽ về bảo mật với sự ra mắt rộng rãi của Zoom 5.0, đánh dấu cột mốc quan trọng trong kế hoạch 90 ngày của công ty nhằm chủ động xác định, giải quyết và nâng cao khả năng bảo mật cũng như sự riêng tư. Với việc hỗ trợ phương thức mã hóa AES 256-bit GCM, Zoom cung cấp lớp bảo vệ tăng cường cho dữ liệu của các cuộc họp và khả năng chống giả mạo.
"Tôi rất tự hào khi hoàn thành bước tiến này trong kế hoạch 90 ngày, nhưng đây mới chỉ là khởi đầu. Chúng tôi tạo nên công ty này để mang hạnh phúc đến cho khách hàng. Tôi tin, chúng tôi sẽ giành được sự tin tưởng của họ và mang đến niềm hạnh phúc bằng sự tập trung kiên định vào việc cung cấp một nền tảng bảo mật nhất", ông Eric S. Yuan khẳng định quyết tâm.
Ông Oded Gal, Giám đốc Sản xuất của Zoom cho biết cụ thể hơn: Zoom nhìn nhận vấn đề riêng tư của người dùng và tính bảo mật của nền tảng một cách toàn diện. Từ hệ thống đến các tính năng, cho đến trải nghiệm người dùng, tất cả đều được xem xét cẩn trọng.
Về phần back-end (phần quản lý hệ thống), phương thức mã hóa AES 256-bit GCM của Zoom 5.0 sẽ giúp nâng cao khả năng bảo mật dữ liệu của người dùng trong quá trình truyền tải. Về phần front-end (phần giao diện người dùng), điều khiến Oded Gal thích thú nhất là biểu tượng Security trên thanh trình đơn của cuộc họp. Điều này đưa các tính năng bảo mật sẵn có và mới được thêm vào của Zoom trở thành trọng tâm đối với người tổ chức cuộc họp.
Với hàng triệu người dùng mới, điều này sẽ đảm bảo họ có quyền truy cập ngay lập tức vào những tùy chọn điều khiển bảo mật quan trọng trong các buổi họp của mình.
Đội ngũ của Keybase.
Vào ngày 8/5, doanh nghiệp này thông báo họ đã hoàn tất việc mua lại Keybase, dịch vụ nhắn tin và chia sẻ tập tin bảo mật. Thông qua thương vụ này, việc sở hữu thêm đội ngũ kỹ sư chuyên về bảo mật và mã hóa sẽ giúp Zoom tăng tốc kế hoạch phát triển mã hóa đầu-cuối, bắt kịp tốc độ tăng trưởng hiện nay.
Ông Eric S. Yuan, CEO của Zoom bình luận: "Thế giới hiện có các nền tảng liên lạc mã hóa đầu-cuối, một số có hệ thống bảo mật có thể dễ dàng triển khai, và một số nền tảng đáp ứng được quy mô dành cho doanh nghiệp lớn. Tuy nhiên, chúng tôi tin rằng hiện nay không có nền tảng nào tích hợp tất cả những khả năng trên.
Zoom muốn xây dựng và cung cấp cho người dùng các tính năng bảo mật, dễ sử dụng và đáp ứng linh hoạt mọi quy mô. Bước đầu tiên là phải tập hợp được đội ngũ thích hợp. Đội ngũ Keybase có bề dày kinh nghiệm về bảo mật và mã hóa, nên Zoom rất vui mừng được chào đón Max cùng đội ngũ của anh. Với sự góp mặt của các chuyên gia bảo mật này, kế hoạch 90 ngày tăng cường bảo mật của chúng tôi sẽ được xúc tiến nhanh hơn".
Ông Max Krohn, đồng sáng lập và là nhà phát triển của Keybase.io, đáp lời: "Chúng tôi rất hào hứng khi gia nhập Zoom. Với thế mạnh về bảo mật và quyền riêng tư, chúng tôi vinh hạnh khi có thể ứng dụng chuyên môn về mã hóa của Keybase vào một nền tảng đang có hàng trăm triệu người dùng sử dụng mỗi ngày."
Phụ trách vấn đề bảo mật cho Zoom, đội ngũ từ Keybase sẽ đóng vai trò quan trọng trong kế hoạch 90 ngày khi chủ động xác định, giải quyết và nâng cao khả năng bảo mật cũng như sự riêng tư của Zoom. Ông Krohn sẽ lãnh đạo đội ngũ kỹ sư bảo mật của Zoom và trực tiếp báo cáo cho CEO Eric Yuan. Các lãnh đạo của Zoom và Keybase sẽ phối hợp làm việc để quyết định tương lai các sản phẩm Keybase. Các điều khoản thương vụ không được tiết lộ.
Keybase là startup ra mắt vào năm 2014 và hiện có khoảng 19 nhân sự. Chính cố vấn Alex Stamos là người đứng ra thúc đẩy thương vụ này. Keybase từng kêu gọi thành công 19,8 triệu USD tiền đầu tư vào năm 2015.