Έχοντας κλείσει πριν λίγες μέρες τους λογαριασμούς ακτιβιστών, κατόπιν αιτήματος από την Κίνα και συγκεκριμένα απ’το Πεκίνο, το Zoom αποφάσισε ότι χρειάζεται ένα σύστημα που θα του επιτρέπει να συμβαδίζει με τους νόμους κάθε χώρας, ώστε να μην πραγματοποιούνται δραστηριότητες που μπορεί να θεωρηθούν παράνομες από κάποια χώρα. Επιπλέον, με αυτό το σύστημα οι περιορισμοί που θα θέτει μια χώρα δεν θα επηρεάζουν πολίτες άλλων χωρών. Η εταιρεία ανέφερε στο επίσημο blog της πως αυτό το σύστημα θα της επιτρέπει να συμμορφωθεί με τα αιτήματα των εκάστοτε τοπικών αρχών, όταν διαπιστώνουν ότι η δραστηριότητα στην πλατφόρμα της είναι παράνομη εντός των συνόρων τους. Ωστόσο, θα μπορεί να προστατεύσει συνομιλίες στις οποίες συμμετέχουν άτομα εκτός των εκάστοτε συνόρων. Το Zoom επεσήμανε επίσης πως έπρεπε να είχε προβλέψει νωρίτερα την ανάγκη ύπαρξης ενός τέτοιου συστήματος. Επιπλέον, η εταιρεία φαίνεται να έχει καταλάβει ότι τα αιτήματα από το Πεκίνο θα μπορούσαν να έχουν ακόμα πιο δυσάρεστα αποτελέσματα. Έτσι, το Zoom δεν θα επιτρέπει πλέον αιτήματα της κινεζικής κυβέρνησης να επηρεάζουν άτομα που δεν βρίσκονται στην Κίνα.
Η εταιρεία τηλεδιάσκεψης δήλωσε ότι είχε κλείσει έναν λογαριασμό από το Χονγκ Κονγκ και δύο λογαριασμούς από τις ΗΠΑ, αφού ειδοποιήθηκε από το Πεκίνο τον περασμένο μήνα ότι επρόκειτο να γίνουν τηλεδιασκέψεις ακτιβιστών, με αφορμή την επέτειο της αιματηρής καταστολής της 4ης Ιουνίου στην πλατεία Τιενανμέν. Το Πεκίνο απαίτησε από την εταιρεία να τερματίσει αυτές τις τηλεδιασκέψεις και να κλείσει τους λογαριασμούς που τις οργάνωναν, γιατί θεωρούσε τις δραστηριότητές τους παράνομες, παρότι επρόκειτο για χρήστες που δεν ζουν στην Κίνα. Επιπλέον, το Zoom ανέφερε ότι δεν παρέδωσε πληροφορίες χρηστών ή περιεχόμενο τηλεδιασκέψεων στην Κίνα, ενώ οι υπάλληλοί του εξέταζαν δεδομένα, όπως διευθύνσεις IP, όσων συμμετείχαν σε τηλεδιασκέψεις, για να προσδιορίσουν σε ποιες συναντήσεις συμμετείχαν χρήστες από την Κίνα.
Η εταιρεία ανακοίνωσε πρόσφατα ότι οι συναντήσεις θα χαρακτηρίζονταν από end-to-end κρυπτογράφηση μόνο για πελάτες που πληρώνουν, με τον Διευθύνοντα Σύμβουλο, Eric Yuan, να δηλώνει ότι στόχος του είναι να σταματήσει την ελεύθερη βαθμίδα της πλατφόρμας για να καταστήσει δυνατή τη συνεργασία με τις αρχές επιβολής του νόμου των ΗΠΑ. Αυτό ωστόσο ανοίγει τον δρόμο σε “κακούς ηθοποιούς”.
Τον Μάρτιο, το Zoom βρέθηκε στο επίκεντρο λόγω παραπλανητικών ισχυρισμών ότι χρησιμοποιεί end-to-end κρυπτογράφηση, δηλώνοντας πως ενώ δεν είχε ποτέ σκοπό να εξαπατήσει κανέναν από τους πελάτες του, αναγνωρίζει ότι υπάρχει διαφορά μεταξύ του τί είναι κοινώς αποδεκτό ως end-to-end κρυπτογράφηση και του πώς η ίδια τη χρησιμοποιεί. Η εταιρεία σημείωσε ακόμη πως στόχος της είναι να αξιοποιήσει τις βέλτιστες πρακτικές κρυπτογράφησης για να παρέχει την μέγιστη ασφάλεια.
H Citizen Lab διαπίστωσε ότι η εφαρμογή παρείχε κλειδιά κρυπτογράφησης από servers της Κίνας, σε συμμετέχοντες εκτός χώρας. Μια εταιρεία που απευθύνεται κυρίως σε πελάτες της Βόρειας Αμερικής και μερικές φορές διανέμει κλειδιά κρυπτογράφησης μέσω servers της Κίνας προκαλεί ανησυχίες, δεδομένου ότι το Zoom ενδέχεται να είναι νομικά υποχρεωμένο να αποκαλύψει αυτά τα κλειδιά στις αρχές της Κίνας.
Το Zoom πρόσθεσε κατά λάθος δύο κινεζικά κέντρα δεδομένων του σε μια μακρά λίστα επιτρεπόμενων “γεφυρών”, επιτρέποντας ενδεχομένως σε μη Κινέζους πελάτες – σε εξαιρετικά περιορισμένες περιπτώσεις – να συνδεθούν με αυτά, όταν οι κύριοι μη Κινεζικοί servers δεν ήταν διαθέσιμοι.
Πέρυσι, η εταιρεία κατηγορήθηκε επειδή χρησιμοποίησε έναν τοπικό web server σε Mac instances για να αποφύγει ένα επιπλέον κλικ για τους χρήστες. Αυτός ο server βρέθηκε να περιέχει μία ευπάθεια εκτέλεσης απομακρυσμένου κώδικα.
Όταν το ζήτημα ήρθε για πρώτη φορά στο φως της δημοσιότητας, το Zoom υπερασπίστηκε τη χρήση του web server, λέγοντας στο ZDNet ότι ήταν “μια νόμιμη λύση σε μια κακή εμπειρία χρήστη”, επιτρέποντας στους χρήστες της πλατφόρμας να έχουν απρόσκοπτη σύνδεση με ένα κλικ για να συμμετάσχουν σε συναντήσεις. Την επόμενη μέρα, το Zoom είπε ότι θα επέστρεφε στην υποστήριξη του τοπικού web server με μια ενημέρωση κώδικα, τονίζοντας ότι η αλλαγή της πορείας του ήταν μία ανταπόκριση στο feedback πελατών και δεν αφορούσε θέματα ασφαλείας. Η εταιρεία δήλωσε εκείνη την περίοδο πως δεν εντοπίστηκε ποτέ ευπάθεια απομακρυσμένης εκτέλεσης κώδικα, προσθέτοντας πως αποφάσισε να καταργήσει τον web server που βασίζεται στο feedback της κοινότητας ασφαλείας και των χρηστών του.