จากที่ก่อนหน้านี้มีรัฐบาลของหลายประเทศไม่ว่าจะเป็นสิงคโปร์ สหรัฐอเมริกา หรือไต้หวัน ออกมาเตือนภัยเรื่องระบบซีเคียวริตี้ของแอปพลิเคชัน VDO Conference อย่าง Zoom รวมถึงสั่งห้ามใช้งาน Zoom ในการสื่อสารกันนั้น ล่าสุดทาง Zoom ได้ออกมาชี้แจงเกี่ยวกับการปรับปรุง และมาตรการรักษาความปลอดภัยตัวใหม่ของระบบแล้ว
โดยทาง Zoom ได้ยอมรับความผิดพลาด ที่อาจจะมองข้ามไปในบางจุด อันเนื่องมาจากแรงกดดันที่ต้องรับมือกับปริมาณการใช้งานที่สูงขึ้นมหาศาล จากเดิมมีผู้ใช้งาน 10 ล้านคน แต่ปัจจุบันได้มีการขยายไปถึง 200 ล้านคนในช่วงเวลา 3 เดือน ซึ่งการแก้ปัญหาของ Zoom ในช่วงที่ผ่านมาประกอบด้วย
ปิดช่องโหว่การส่งข้อมูลผู้ใช้งานให้ Facebook
ทาง Zoom ชี้แจงว่า ปัญหานี้เป็นที่ Facebook SDK พยายามส่งข้อมูลบางส่วนกลับไปที่ Facebook ซึ่งทาง Zoom ไม่มีนโยบายขายข้อมูลให้ผู้อื่นอยู่แล้ว จึงได้มีการ Update App iOS ในวันที่ 27 มีนาคมที่ผ่านมาเพื่อปิดช่องโหว่ดังกล่าว
ยืนยันว่าเข้ารหัสคลิป 100%
Zoom ได้ชี้แจงปัญหานี้โดยยืนยันว่า ในกรณีใช้ Zoom Meeting App คุยกับ Zoom Meeting App โดยไม่ได้มีการบันทึกผ่าน Cloud ข้อมูลภาพ เสียง และการ share หน้าจอของการประชุมทั้งหมดจะถูกเข้ารหัส (encryption) แบบ 100% โดยไม่ได้มีการถอดรหัสใด ๆ ตั้งแต่ต้นทางถึงปลายทาง
แต่ถ้าผู้ใช้งานมีความต้องการที่จะใช้ Recording หรือ Remote Control หรือต้องการใช้ Zoom ร่วมกับอุปกรณ์ (end-points) อื่น ๆ ระบบจะมีการถอดรหัสที่ส่วนกลาง และจะถูกใส่รหัสก่อนส่งข้อมูลออกไปที่ปลายทางเช่นเดียวกับผู้ให้บริการรายอื่น เช่น Cisco Webex หรือ Microsoft Team
อัปเดตใหม่ให้กด Link UNC ก็จะไม่มีอะไรเกิดขึ้น
ที่ผ่านมาในการใช้ Zoom ได้เกิดเหตุการณ์แฮกเกอร์เข้าไปโพสต์ link UNC (ที่ใช้ในการเข้าถึงที่เก็บข้อมูล shared drive ของ Microsoft windows) ในห้องแชทขณะที่ประชุมอยู่ ซึ่งทันทีที่มีการกด Link ดังกล่าว แฮกเกอร์จะสามารถลักลอบเอา User name & Password ออกมาได้ ซึ่งทางทีมงานของ Zoom วิเคราะห์ว่า เป็นไปไม่ได้ที่แฮกเกอร์จะเข้ามาในห้องประชุมได้ ถ้าไม่มีใครอนุญาต และถ้ามีการ Hack เกิดขึ้น ก็คงเป็นเพราะหนึ่งในผู้เข้าร่วมประชุมก็คือ Hacker นั่นเองซึ่งก็คงจับผู้กระทำความผิดได้ไม่ยาก
อย่างไรก็ตาม Zoom ได้ Update app ใหม่แล้ว ในวันที่ 1 เมษายน 2020 โดยถ้าเราเข้าไปกด Link UNC นี้จะไม่มีอะไรเกิดขึ้นอีกต่อไป
ซ่อน Meeting ID สกัด Zoom Bombing
สำหรับกรณี Zoom Bombing หรือการที่แฮกเกอร์รู้ Meeting ID เลยสามารถแอบเข้ามาป่วนการประชุมโดยไม่ได้รับการอนุญาตนั้น ทาง Zoom ระบุว่าเป็นสิ่งที่ไม่เคยเจอมาก่อน เนื่องจากลูกค้าของ Zoom ในอดีตเป็นลูกค้าประเภทองค์กร ซึ่งในแต่ละองค์กรจะมีบุคลากร IT ที่ได้รับการอบรมและศึกษาวิธีใช้ Zoom มาอย่างรัดกุม
อย่างไรก็ดี ภายหลังที่ Zoom มีผู้ใช้งานเพิ่มขึ้น ก็เริ่มมีการแชร์ Link ที่มี Meeting ID ไปในช่องทาง online หรือ social ต่าง ๆ หรือได้มีการ Post screenshot ของภาพการประชุม ขึ้น Web หรือ Social จึงเป็นเหตุให้แฮกเกอร์สามารถนำ Meeting ID เหล่านั้นมา สร้างความปั่นป่วนได้
ด้วยเหตุนี้ ลูกค้าที่ใช้ Zoom Meeting เวอร์ชันฟรี หรือ pro ที่ 1 License ต้องใส่ password หลังจากใส่ Meeting ID โดยไม่สามารถปิดฟังก์ชันนี้ได้ เพื่อป้องกันไม่ให้ แฮกเกอร์ที่รู้ Meeting ID สามารถเข้าห้องประชุม
นอกจากนี้ เพื่อไม่ให้แฮกเกอร์ใช้ AI หรือบ็อทในการสแกนหา Meeting ID ที่มีการโพสต์ขึ้นไปบนเว็บ ทาง Zoom ได้อัปเดตซอฟต์แวร์ใหม่โดยซ่อน Meeting ID เอาไว้แล้ว หรือถ้าใครอยากหาความรู้เพิ่ม สามารถอ่านได้จากคำแนะนำที่ Zoom เตรียมเอาไว้ได้เช่นกัน
สุดท้ายเป็นเรื่องของนโยบายความเป็นส่วนตัว (Privacy Data) ที่มีการเรียบเรียงให้ชัดเจนมากขึ้น โดยระบุว่า Zoom ไม่มีนโยบายขายข้อมูลของลูกค้าตั้งแต่ในอดีตจนถึงปัจจุบันและไม่มีนโยบายที่จะทำในอนาคต บริษัทไม่มีการตรวจสอบหรือ Monitor ข้อมูลการประชุมของลูกค้า และบริษัทได้รับการรับรองจากกฏหมายด้านความเป็นส่วนตัว จาก GDPA และ CCPA เรียบร้อยแล้ว
