回答赢了网好律师团队
此漏洞来源于 Zoom 内置的自定义 URL 功能,该功能可以让公司创建一个属于自己的 Zoom 会议链接格式。比如有一个公司叫做“AoliGei”,那么它可以使用此功能生成一个专用的 Zoom 链接(AoLiGei.zoom.us),该公司在使用 Zoom 开会的时候,所获取的会议链接不同于普通的 Zoom 会议连接(zoom.us/j/#####),而是带有公司名称的链接(AoLiGei.zoom.us/j/#####)。
此问题在于公司的任何人在使用 Zoom 开会的时候都可以生成一个这样的链接,因此这可以被黑客入侵一个公司员工的 Zoom 账号后,使用与公司名称相似的域名(比如 AoLiGei.zoom.us/j/#####被伪造成 AoLlGei.zoom.us/j/#####),将所有人都带到另一个会议页面,然后所有人就都在这个伪造页面输入了他们各自的账户信息。
考虑到并非仅有公司内部员工可以参与该会议,如果外部客户也参与的话,那么他们的信息也会被泄露,这样连锁反应可以说是一种极大的隐患。