Zoom představuje rozšířenou cloudovou platformu pro video a audio konference, spolupráci, chat a webináře. Videokonference Zoom se v podnikovém prostředí používají při školeních, výuce a komunikaci, a to i v nadnárodních společnostech.
Jak se nově ukázalo, komunikaci přes Zoom ale mohli odposlouchávat útočníci. Videokonference Zoom používají ID složená z 9, 10 nebo 11 číslic. Problém byl, že pokud uživatel nezapnul možnost „Vyžadovat heslo k meetingu“ nebo nepovolil čekárnu, která umožňuje manuální schválení účastníků, bylo ID meetingu jediná věc, která konferenci zabezpečila a zabránila v přístupu nežádoucím účastníkům.
Při hledání zranitelností vygeneroval bezpečnostní tým Check Point Research nejdříve seznam potenciálně platných ID a následně vytvořil script pro automatické připojování k online schůzkám. Ale jak ověřit, že ID představuje reálné ID nějakého platného meetingu? Výzkumníci našli jednoduchou a rychlou cestu; při připojení ke schůzce bylo v těle HTML jednoduše rozeznatelné, jestli se jedná o aktivní meeting, nebo ne.
Výzkumný tým následně celý proces zautomatizoval a dokázal odhalit zhruba 4 % reálných ID konferencí na základě náhodně generovaných ID, což už je velmi vysoká šance na úspěch.
Příslušný problém byl již firmou Zoom Video Communications opraven.