“Fiquei chocado com isto! Subscrevi o serviço e vi 995 pessoas desconhecidas, com os seus nomes, fotos e endereços de e-mail”, revela um dos utilizadores que denunciou o tema. A falha está na funcionalidade de Diretório da Empresas do Zoom, que tenta fazer listas de pessoas com endereços de e-mail no mesmo domínio. O objetivo é ajudar a encontrar algum colega, quando o domínio é de alguma empresa. A situação de revelação acidental surge quando se percebe que alguns utilizadores que se registaram com os seus endereços de e-mail pessoais surgem agrupados, como se trabalhassem todos juntos, e a expor os seus dados pessoais uns aos outros.
Barand Geherls, o utilizador que denunciou a situação ao Motherboard, explica que “se subscrevermos o Zoom com um fornecedor não standard (ou seja, não Gmail, Hotmail ou Yahoo), conseguimos ver todos os utilizadores registados desse mesmo fornecedor: os seus nomes completos, endereços de e-mail, imagens e o seu estado. E podemos estabelecer videochamadas com todos eles”.
A Zoom assume no seu site que esta funcionalidade existe e que agrupa os utilizadores que estejam todos na mesma conta ou que partilhem o mesmo domínio, desde que não sejam os públicos Gmail, Hotmail ou equivalentes. A lacuna parece residir no facto de que a Zoom não conseguiu excluir todos os domínios que são usados para e-mails pessoais, como é o caso do xs4all.nl, dds.nl ou quicknet.nl, que pertencem a fornecedores de acesso à Internet holandeses que oferecem este serviço.
Um porta-voz da Zoom confirma que a empresa mantém uma lista negra de domínios e que proativamente deteta domínios a serem acrescentados a este rol. Há ainda uma secção do site onde os utilizadores podem pedir que os domínios sejam excluídos da funcionalidade de Diretório.