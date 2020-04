Sở Giáo dục TP New York, Mỹ yêu cầu các trường học trên địa bàn không sử dụng phần mềm học trực tuyến Zoom do lo ngại về vấn đề an ninh, bảo mật.

Ngày 5/4, phát ngôn viên Sở Giáo dục TP New York, Danielle Filson cho biết các trường học nên sử dụng phần mềm học từ xa khác để đảm bảo lợi ích cho học sinh và sinh viên. Ông khuyến khích nhà trường sử dụng phần mềm Microsoft Teams vì có tính năng gọi trực tuyến tương tự nhưng có khả năng bảo mật tốt hơn hẳn. Không chỉ Sở giáo dục TP, nhiều nơi khác cũng cấm sử dụng phần mềm này. Elon Musk cấm nhân viên SpaceX sử dụng phần mềm, Cơ quan Hàng không vũ trụ quốc gia Mỹ (NASA) cũng có động thái tương tự.

Được biết, ứng dụng Zoom đã ra mặt được gần 10 năm nhưng chỉ chính thức phổ biến khi dịch bệnh COVID-19 bùng phát. Đây là giải pháp họp video trực tuyến hiệu quả, có thể tạo cuộc gọi nhóm tối đa 100 người, tuy nhiên không phải là lựa chọn an toàn cho người quan tâm đến quyền riêng tư và bảo mật. Một số chuyên gia an ninh mạng cho hay, nền tảng này rất dễ bị hacker tấn công và đánh cắp thông tin, thậm chí còn chiếm quyền điều khiển hệ thống.

Đầu tháng 4, Cục Điều tra liên bang Mỹ (FBI) đã cảnh báo về các cuộc tấn công an ninh và quyền riêng tư mang tên "Zoombombing". Theo đó, các hacker sẽ tìm đến các phòng học trực tuyến trên Zoom thông qua đường dẫn chia sẻ công khai trên các trang MXH, hoặc dự đoán mã ID chứa từ 9-11 con số. Khi vào được lớp học, hacker sẽ tuyên bố đe dọa, phân biệt chủng tộc hoặc gửi những hình ảnh khiêu dâm, ảnh hưởng tới tâm lý, nhận thức của học sinh.

Không chỉ vậy, Zoom còn đang bị chỉ trích vì gửi dữ liệu người dùng trái phép cho Facebook, sau đó quảng cáo sai về tính năng mã hóa, cho phép chủ phòng họp ảo theo dõi người tham dự,...

Đánh cắp mật khẩu Windows qua Zoom

Được biết, hệ thống Windows sẽ tự động hiển thị tên đăng nhập và mật khẩu cho máy chủ SMB (Samba Server: Giao thức chia sẻ file phổ biến trên Windows) khi có người kết nối hay tải xuống tệp. Để đánh cắp thông tin, hacker sẽ gửi một đoạn URL đơn giản tới người dùng Zoom qua tin nhắn. Khi mở URL này, người dùng đã để hacker chiếm quyền điều khiển máy chủ SMB để lấy đi những thông tin bảo mật.

Nhà nghiên cứu an ninh Tavis Ormandy cho biết, các trình duyệt trên Windows sẽ tự động lưu file tải về trong một thư mục nhất địch. Hacker sẽ lợi dụng lỗ hổng từ Zoom, sau đó kích hoạt điều khiển từ xa những tập tin độc hại từ thư mục này mà không thông báo với người dùng. Hacker sẽ cần phải có tên đăng nhập Windows của nạn nhân, nhưng qua lỗ hổng máy chủ SMB nói trên thì không quá khó khăn.

Người dùng Zoom cần cảnh giác

Mới đây, Giám đốc điều hành Zoom Eric Yuan đã phải lên tiếng xin lỗi người dùng vì sự cố bảo mật , cam kết sẽ khắc phục những thiếu sót về bảo mật này. Zoom đang ngừng phát triển tính năng mới trong 3 tháng để khắc phục các lỗ hổng bảo mật.

Giám đốc điều hành Zoom Eric Yuan

Ông Yuan thừa nhận, công ty thiết kế phần mềm không ngờ có ngày mọi người trên thế giới đều chuyển sang học tập, làm việc tại nhà chỉ sau vài tuần. Vị giám đốc này viết: "Dù làm việc ngày đêm để hỗ trợ người dùng mới, Zoom vẫn chưa đáp ứng được mong muốn của cộng đồng, cũng như của chúng tôi, về tính riêng tư và bảo mật. Chúng tôi rất xin lỗi về điều đó".

Người dùng Zoom cần sử dụng mật khẩu mạnh hơn để bảo vệ cho tài khoản của mình. Đồng thời, họ cũng nên thay đổi những cài đặt về chính sách bảo mật để hạn chế lộ thông tin. Việc sử dụng nền tảng video thay thế hoặc trực tiếp sử dụng Zoom trên trình duyệt thay vì tải về là những cách khác để đối phó.

Người dùng nên chọn tính năng "Only Host" trong mục "Advanced Sharing Options" để chỉ người khởi tạo cuộc họp mới có thể chia sẻ nội dung cuộc họp. Hoặc chọn tính năng "waiting room" để kiểm soát người tham gia cuộc họp, người mới tham gia phải chờ chủ cuộc họp phê duyệt mới được tham dự.

Chi Nguyễn (t/h)