A necessidade da utilização das aplicações de reuniões como o Zoom, Slack e Teams, em teletrabalho e ensino online devido ao isolamento do coronavírus, tem levado as autoridades a temer pela segurança dos utilizadores e a capacidade dos hackers explorarem possíveis vulnerabilidades. O FBI recebeu múltiplas queixas de conferências no Zoom a serem interrompidas por imagens pornográficas, de ódio e com linguagem ameaçadora, afirma na sua página oficial. Trata-se de um sistema de hacking denominado por VTC hijacking, também chamado de “Zoom-bombing”.

A divisão de Boston do FBI relatou dois incidentes: um no final de março, uma escola secundária do Massachusetts reportou que enquanto uma professora dava uma aula online via videoconferência através do software Zoom, indivíduos não identificados interromperam a sessão. Os mesmos gritaram profanidades e escreveram a morada da professora no chat. Outra escola na localidade também reportou que durante um encontro no Zoom, este foi acedido por um outro indivíduo, não identificado, que apareceu em vídeo a mostrar tatuagens suásticas.

O FBI recomenda que durante o exercício de utilização de sistemas de encontros e aulas online, os utilizadores tenham uma maior cautela e medidas de cibersegurança e deixa alguns conselhos para mitigar o perigo de hijacking durante as teleconferências. Durante as reuniões ou aulas online nunca as deve tornar públicas. Na app Zoom há duas opções para as tornar privadas: através de palavras-passe ou utilizar uma sala de espera e controlar os utilizadores que vão participar nas sessões.

Outro conselho dado é não partilhar os links das teleconferências ou aulas num post público nas redes sociais, deverão enviá-los diretamente para as respetivas pessoas. Os utilizadores devem gerir as opções do que é partilhado no ecrã, e no caso do Zoom, reduzir essa possibilidade ao anfitrião da sessão. Os utilizadores devem ainda garantir que estão a utilizar as versões mais recentes das respetivas aplicações, que no caso do Zoom foi atualizada em janeiro de 2020. Esta inclui o uso de palavras-passe por defeito nas reuniões, além de ter desligado a possibilidade de procurar sessões para se juntar.

Segundo avança a Motherboard, diversos utilizadores referem que a aplicação Zoom está partilhar dados pessoais dos utilizadores, nomeadamente o seu email e fotografia. Isso permite que qualquer um tome iniciativa de fazer videochamada através da aplicação. Em causa está uma definição em “Company Directory”, que automaticamente adiciona um utilizador a uma lista de contactos se estes se autenticarem com o mesmo domínio de endereço, para facilitar encontros entre colegas da mesma empresa. No entanto, os utilizadores referem que ao se registarem com o seu email pessoal foram colocadas em grupos com milhares de outras pessoas, como se trabalhassem juntas, expondo assim o seu email e fotografia aos mesmos.

Os domínios de endereços públicos, como o Gmail, Hotmail ou Yahoo não fazem parte dessa funcionalidade, mas existem empresas que oferecem serviços de email que não foram adicionados a essa lista de exceção. ISP holandeses com domínios como xs4all.nl, dds.nl, e quicknet.nl são exemplos disso, e que estão a ser explorados.

Ainda recentemente o Zoom foi acusado de enviar dados analíticos para o Facebook. Os dados recolhidos mencionavam as versões do sistema operativo do smartphone, o fuso horário, o modelo, operadora, tamanho do ecrã, processadores e espaço livre. A empresa assegura que não foram partilhados dados sensíveis tais como as atividades ligadas aos encontros, os nomes dos intervenientes e notas tomadas durante as reuniões. Entretanto já corrigiu a versão iOS da aplicação e a autenticação é feita via browser, e não pelo SDK integrado na rede social.