מערך הסייבר הלאומי: המלצות לשימוש בתוכנת Zoom במשבר הקורונה

מערך הסייבר הלאומי: המלצות לשימוש בתוכנת Zoom במשבר הקורונה
מאת: מערכת Telecom News, 5.4.20, 17:40

לאור מגפת הקורונה ומעבר של ארגונים רבים לעבודה מרוחקת מהבית, רבים מהם עושים שימוש בתוכנות שת"פ collaboration שונות. תוכנת Zoom בולטת בימים אלה בשימוש אינטנסיבי ע"י ארגונים ועסקים רבים. לאור השימוש המוגבר בתוכנה זו, גם תוקפים החלו לנסות ולתקוף משתמשים העושים שימוש במערכת זו. מובאות המלצות מטעם מערך הסייבר הלאומי לגבי השימוש בזום. 9 עדכונים בנושאי האבטחה של זום כולל Zoom 5.0 בתחתית הכתבה. וכן עדכונים על שירות דומה בווטסאפ ובגוגל - Google Meet. עדכןו אחרון: 17.11.20.

על בעיות אבטחת המידע הגלומות בשימוש ב-ZOOM ועל האפשרות החדשה של קביעת סיסמא דיווחנו זה מכבר - כאן, בכתבה תחת הכותרת: משבר הקורונה: אזהרה - אפליקציית שיתוף הווידאו ZOOM אוספת מידע רחב על המשתמשים באפליקציה! עובדים ולומדים מהבית? האם אתם יודעים איזה מידע החברה אוספת עליכם ומהי מדיניות הפרטיות שלה? יש גם מעקב ואפשרות דיווח למארח (הבוס למשל). חשוב, שעסקים וארגונים, שעושים שימוש בימים אלה ב-ZOOM, ישקלו ברצינות את היתרונות והחסרונות של שימוש בכלי זה. ניתן לכבות את אפשרות המעקב אם לא הוגדרה קבועה ע"י המארח. בנוסף, עדכונים לגבי האפשרות החדשה של סיסמא.

התקיפות של תוכנתZOOM  נעות מוונדליזם ומניעת שירות, דרך ניסיונות לתקוף את משתמשי המערכת ולגנוב נתוני הזדהות, או אף להתקין פוגען על עמדת המשתמש.

הוצפו מספר נושאים העוסקים בתוכנה, ביניהם היכולת של תוקפים להתפרץ לשיחות Zoom ,שלא הוזמנו אליהן, ולהפריע למהלך התקין של השיחה. ודיווח על פגיעות המאפשרת לתוקף משלוח קישור לשרת חיצוני העושה שימוש בפרוטוקול SMB .הפעלת הקישור גורמת למערכת ההפעלה לנסות לתקשר עם השרת, ולכן פרטי ההזדהות של המשתמש מועברים אליו באופן אוטומטי ועלולים להיתפס בידי התוקף. פגיעות זו הינה למעשה התנהגות ברירת המחדל של מערכת ההפעלה, וקיימת גם כאשר הקישור מועבר במסמכי אופיס וכד'. לא מדובר בפגיעות ספציפית לתוכנתזום 

לגבי ההצפנה של התוכנה, והאם היא מוצפנת מקצה לקצה, פורסמו דיווחים, שבניגוד לנטען בידי החברה, הצפנת השיחה אינה מקצה לקצה. החברה פרסמה הבהרה, ובה מודגש, שכאשר כל משתתפי השיחה עושים שימוש בתוכנות קליינט עדכניות, והשיחה אינה מוקלטת, השיחה אכן מוצפנת מקצה לקצה. אך אם חלק מהמשתתפים עושים שימוש בממשקים אחרים, החל משיחת טלפון וכלה בהקלטת השיחה, ההצפנה אינה מקצה לקצה.

יש נושאים נוספים, שאינם קשורים ישירות לתוכנה: שימוש בדומיינים הכוללים את שם התוכנה במתקפות פישינג וכד', שימוש בתוכנות זדוניות המתחזות לקליינט של Zoom ועידוד המשתמשים להתקינן .

כדי למנוע מגורמים זרים להתפרץ ולהפריע לשיחות זום, מומלץ לנקוט בצעדים הבאים:

 לפרסם את קיום הפגישה באמצעים פנים ארגוניים ולא פומביים.

 להגדיר סיסמה לפגישה.

לנעול את הפגישה לאחר שכל המשתתפים הצטרפו. כך, שלא ניתן לצרף משתמשים חדשים.

כדי למנוע מנתוני הזדהות לדלוף, מומלץ לנקוט בצעדים הבאים:

להימנע מלהפעיל קישורים המועלים ע"י משתתפים לפגישה.

לעדכן הקליינט למערכת הפעלה Windows לגרסה 4.6.9 המונעת הפעלת קישורים מסוג זה.

להגדיר בFirewall- מניעת תעבורה יוצאת בפורט 445 (SMB).

כדי להימנע מדלף מידע המועבר בשיחות, מומלץ לנקוט בצעדים הבאים:

להגביל השיחות רק למשתמשים, שיש להם קליינטים עדכניים הפועלים על גבי מחשב או סמארטפון, ולא להקליט את השיחה.

מלכתחילה להגביל סיווג השיחה. כך, שגם אם ידלוף מידע, הוא לא יהיה מסווג.  

מומלץ להתקין התוכנה אך ורק מחנויות היישומים הרשמיות גוגל פליי ואפסטור או מהאתר הרשמי של החברה.

מומלץ לצרוך מידע לגבי התוכנה רק מאתרים מוכרים ורשמיים.

עדכון 14.4.20, 14:58: חוקרים גילו 530,000 סיסמאות של זום ברשת האפלה. ניתן לקנות כל סיסמא בפחות מסנט או לקבלה בחינם. לכן, לא כדאי שהסיסמא בזום תהיה זהה לזו שמשתמשים בה במקומות אחרים

עדכון 15.4.20, 16:10: ZOOM מגיבה למכירת סיסמאות וכתובות מייל של משתמשי ZOOM ברשת האפלה: בתגובה לידיעות על כך, שסיסמאות וכתובות מייל של אלפי משתמשי זום הוצעו למכירה ברשת האפלה, נמסר מחברת זום, שרוב הנתונים, שהועמדו למכירה, מקורם בדליפות מידע בפלטפורמות אינטרנטיות אחרות בעבר, בהן נפרצו חשבונות גולשים והסיסמאות בהם לא שונו והשתמשו בהן שוב לצרכי הזדהות בכניסה לתקשורת הווידאו של זום. המשתמשים חייבים להחליף סיסמאות במעבר בין שירות לשירות.
 
חברת זום: ״אנו רואים שוב ושוב ששירותי רשת, שמשמשים צרכנים, מהווים יעד לפעילות נפשעת מהסוג הזה. הפושעים מנצלים את העובדה, שהמשתמשים לא מחליפים סיסמאות במעבר בין שירות לשירות ומשתמשים בהן שוב ושוב. סוג כזה של התקפה לא משפיע בד"כ על הלקוחות הארגוניים הגדולים, שעושים שימוש במערכות single sign-on.
 
שכרנו מספר חברות מתמחות בפשיעת סייבר כדי לאתר את המקומות בהן אוחסנו הסיסמאות והכתובות שנחשפו והכלים בהם השתמשו כדי ליצור אותם, והכנסנו לפעולה חברה שכבר סגרה אלפי אתרים שמנסים ׳לעבוד׳ על גולשים להוריד נוזקות, או להוציא מהם במרמה פרטי זיהוי. אנו מבקשים בכל הזדמנות מהמשתמשים לשנות סיסמאות לסיסמאות בטוחות יותר, לא לחזור ולהשתמש באותה סיסמה שוב ושוב ובנוסף אנו בוחנים כעת יישום טכנולוגיות נוספות, שתימנענה בעיות כאלו בעתיד״. 

עדכון 15.4.20, 16:22: זום מתחייבת שנתוני משתמשים בשיחות הווידאו בחינם מחוץ לסין לא ינותבו  דרך סין: עקב חששות בנושא פרטיות ואבטחת מידע, החל מה-18.4.20, משתמשי זום בתשלום יקבלו שליטה מלאה על בחירת מרכזי הנתונים (דאטה סנטרס), שמשמשים לניתוב השיחות שלהם, והמשתמשים ה׳חינמיים׳ בפתרונות תקשורת הווידאו של זום מחוץ לסין לא ינותבו יותר דרך סין. כלומר, המשתמשים בחינם לא יוכלו לבחור להחליף מיקומים והם יוקצו - כברירת מחדל - לאזור בו הם ממוקמים פיזית. המשתמשים בתשלום יוכלו להגדיר מראש ולהצטרף, או לבטל, אזורי מיקום שרתים, למעט את אזור ברירת המחדל שלהם. מרכזי הנתונים של זום מקובצים כיום בארה"ב, קנדה, אירופה, הודו, אוסטרליה, סין, אמריקה הלטינית, ויפן/הונג קונג.

עדכון 16.4.20, 13:51: זום הכניסה חידושים בתחומי האבטחה וההגנה על הפרטיות:
הוספת אייקון אבטחה חדש
לסרגל הכלים של האפליקציה צורף כפתור אבטחה, שמספק למארחים פגישות בזום גישה בלחיצה אחת למספר תכונות אבטחה קיימות של זום, כולל נעילת פגישות והפעלת חדר ההמתנה.
שינויים בהגדרות ברירת המחדל של זום
זאת, כדי לשפר את האבטחה עוד לפני שהפגישה מתחילה. סיסמאות טרום כניסה לפגישה והפעלת חדרי המתנה מופעלים כעת כברירת מחדל עבור המשתמשים הבסיסיים החינמיים ומשתמשי Pro בתשלום, בעוד שלקוחות בתוכנית החינוך K-12 של זום חייבים סיסמא כדי להצטרף לפגישה. חדרי ההמתנה פועלים כברירת מחדל עבור המשתמשים בתוכנית.
סיסמת פגישה משופרת
בעלי ומנהלי חשבונות יכולים כעת להגדיר דרישות מינימום לסיסמא לפגישה. כך, שיכללו מספרים, אותיות ותווים מיוחדים, או לאפשר סיסמאות מספריות בלבד. משתמשי חשבון בסיסי בחינם ישתמשו כברירת מחדל בסיסמאות אלפא-נומריות במקום בסיסמאות מספריות.
הקלטות בענן
הגנת סיסמה להקלטות ענן משותפות פועלת כעת כברירת מחדל עבור כל החשבונות. כן שופרה המורכבות של הסיסמאות בהקלטות הענן  
שיתוף קבצים של צד שלישי
חודשה האפשרות להשתמש בפלטפורמות של צד שלישי, כגון Box, Dropbox ו- OneDrive לטובת שיתוף בזום - לאחר בדיקת אבטחה מלאה של התהליך.
 
עדכון 16.4.20, 15:50: לאחר שתוקפים הצליחו להשיג  מידע אודות חשבונות זום של משתמשים מנתונים שכבר דלפו בעבר בזליגות מידע משירותים אחרים, ובאמצעותם ההאקרים יכולים לבצע גם מתקפות מסוג "Zoom-boombing" - פלישה והתפרצות לשיחות, שלא הוזמנו אליהן והצגת תכנים פוגעניים דוגמת קריאות לאנטישמיות או פורנוגרפיה, חברת אבטחת המידע ESET מדגישה: "אחד הכללים המנחים הוא לא להשתמש באותה סיסמה לשירותים שונים. השתמשו תמיד בסיסמה ייחודית בכל אתר ושירות בנפרד. בנוסף כדאי לבדוק האם קיבלתם הודעה לגבי דליפת הפרטים האישיים ואף לבצע בדיקה עצמאית באמצעות האתר Have I Been Pwned כדי להבין האם הפרטים האישיים דלפו".

עדכון 22.4.20, 16:47: זום משיקה את Zoom 5.0:  
 
רשת
הצפנת AES 256-bit GCM: זום משתדרגת לתקן ההצפנה AES 256-bit GCM, שמציע הגנה מוגברת על נתוני הפגישות וגם עמידות גבוהה בפני ניסיונות חדירה מבחוץ. המהלך מספק למשתמשים התחייבות לשמירה על תכני פגישות הזום, ובינרי הווידאו של זום, ושימוש בנתוני Zoom Phone.
 
Zoom 5.0 תומכת בהצפנת GCM (הצפנת בלוקים) והתקן ייכנס לתוקף לאחר הפעלת כל החשבונות ב-GCM . הפעלת חשבונות כלל-מערכת תתקיים ב-30.5.20.
 
ניתוב נתונים: מנהל החשבון (admin) יכול לבחור את אזורי מרכזי הנתונים, שבהם ישתמשו הפגישות שלהם, או הוובינרים המקוונים ישתמשו בזמן אמת ברמת החשבון, הקבוצה או המשתמש.
 
חוויית משתמש ובקרות
אייקון אבטחה: תכונות האבטחה של זום, שאליהן ניגשו בעבר באמצעות תפריטי הפגישה, מקובצות כעת ונמצאות כולן באייקון אחד הממוקם בסרגל התפריטים של הפגישה, בממשק המארחים.
 
בקרות מארח חזקות: מארחי פגישות יוכלו "לדווח על משתמש" לזום דרך סמל האבטחה. הם עשויים גם להשבית את היכולת של המשתתפים לשנות שמות למניעת התחזות. עבור לקוחות מתחומי החינוך, שיתוף המסך כברירת מחדל נתון כעת אך ורק למארח הפגישה.
 
ברירת מחדל של חדר המתנה (Waiting Room): חדר ההמתנה, תכונה קיימת, שמאפשרת למארח לשמור על משתתפים בחדרי המתנה וירטואליים לפני קבלתם לפגישה, מופעלת כעת כברירת מחדל לחשבונות משתמשים בתחומי מערכות החינוך, משתמשים בסיסיים (חינמיים) ורישיון Pro יחיד. כעת כל המארחים רשאים להפעיל את חדר ההמתנה בזמן שהפגישה שלהם כבר בעיצומה.
 
מורכבות סיסמת פגישה והפעלת ברירת מחדל: סיסמאות לפגישה, תכונה שכבר קיימת במערכת, פועלת כעת כברירת מחדל עבור מרבית הלקוחות, כולל כל לקוחות השימוש הבסיסי, Pro עם רישיון יחיד ולקוחות תחום החינוך. בחשבונות מנוהלים, לאדמינים יש כעת אפשרות להגדיר את מורכבות הסיסמאות (כגון דרישות אורך, אלפא-נומרי ודפי תו מיוחדים). בנוסף, מנהלי פגישות Zoom Phone  יכולים כעת להתאים את אורך ה-pin הדרוש לגישה לדואר הקולי.
סיסמאות להקלטות בענן: הסיסמאות מעתה מוגדרות כברירת מחדל לכל הגישה להקלטות בענן, להוציא מארח הפגישה ונדרשת סיסמא מורכבת. בחשבונות מנוהלים, יש לאדמינים אפשרות להגדיר את מורכבות הסיסמאות.
 
שיתוף אנשי קשר מאובטח בחשבון: Zoom 5.0 תומכת במבנה נתונים חדש עבור ארגונים גדולים יותר, מצב שיאפשר להם לקשר אנשי קשר בין חשבונות מרובים. כך, שאנשים יוכלו לחפש בקלות ובאופן מאובטח פגישות, צ'ט ואנשי קשר טלפוניים.
 
שיפור לוח המחוונים: אדמינים של תוכניות עסקיות, ארגוניות ובתחום החינוך יכולים לראות כיצד הפגישות שלהם מתחברות למרכזי הנתונים של זום בלוח המחוונים (Zoom Dashboard).
 
בנוסף: יכולים כעת לבחור באופציה, שהודעות הצ'ט זום שלהם לא יציגו קטע מהצ'ט שלהם; ישיבות חדשות, שאינן PMI, כוללות כעת מספר זיהוי בן 11 ספרות למורכבות נוספת; ובמהלך פגישה, מזהה הפגישה ואפשרות ההזמנה הועברו מממשק הזום הראשי לתפריט המשתתפים, נתון המקשה על המשתמש לשתף בטעות את מזהה הפגישה שלו.
 
עדכון אפליקציית הזום ל-Zoom 5.0  - zoom.com/download

עדכון 22.4.20 ווטסאפ מאפשר שיחות קול ווידאו עד 8 משתתפים - כאן

**עדכון 29.4.20: שירות Google Meet  - שירות שיחות וידאו קבוצתיות של גוגל, שהיה עד עתה זמין למשתמשים עסקיים בתשלום לחבילת השירותים הארגוניים - G Suite, נפתח בחינם לכולם. עד 30.9.20 ניתן יהיה ליצור מפגשים עד 100 משתמשים למשך זמן בלתי-מוגבל, ולאחר מכן יוגבל זמן הפגישה ל-60 דקות כל פעם. השיחות מוצפנות. כדי ליצור מפגש דרך Meet יש להיכנס לקישור ולהתחבר לחשבון גוגל. אם האפשרות ליצירת מפגש לא מופיעה, צריך להמתין עוד מספר ימים לפתיחה.

עדכון 7.5.20, 19:22: חברת זום דיווחה על רכישת Keybase המספקת שירות מאובטח להעברת הודעות ושיתוף קבצים. זאת, כדי להאיץ את תוכניתה של החברה לבנות הצפנה מקצה לקצה שתתמוך בנפח הפעילות של זום כיום ובעתיד. פרטי העסקה לא נמסרו.
 
הרכישה היא צעד ליצירת פלטפורמת תקשורת וידאו מאובטחת ופרטית, שתתאים למאות מיליוני משתתפים, עם הגמישות להתאמה לאינספור סוגי השימוש, שעושים כיום בזום. Keybase מביאה לזום ניסיון עשיר בתחום ההצפנה ומומחיות אבטחה.

**עדכון 13.5.20, 14:41: כשבועיים לאחר שהכריזה Google Cloud על פתיחת השימוש בשירות שיחות הווידיאו שלה, Google MEET, לציבור הרחב, החברה מודיעה ,שהשימוש זמין מעתה לכל המשתמשים, פרטיים ועסקיים. החל מהיום, כל מי שיש לו כתובת דוא"ל יכול להירשם בכתובת meet.google.com ולהתחיל להשתמש בשירות בחינם. כדי להפוך את השימוש ב-Google Meet לנגיש ויעיל עוד יותר, בימים הקרובים יתאפשר להשתמש בו ישירות מתוך Gmail.

עדכון 18.5.20, 12:00: אייקון האבטחה החדש של זום - התוסף למערכת אייקון אבטחה חדש אותו רואים יזמי השיחות, מייד עם הכניסה למפגש הזום. המשמעות: תכונות האבטחה של זום, שאליהן ניגשו בעבר באמצעות תפריטי הפגישה, מקובצות כעת ונמצאות כולן באייקון אחד הממוקם בסרגל התפריטים של הפגישה, בממשק המארחים. כך, בין השאר, מארחי פגישות יכולים כעת "לדווח על משתמש" בעייתי לזום, והם יכולים גם להשבית את היכולת של המשתתפים לשנות שמות למניעת התחזות.
 
פעולות נוספות שניתן לבצע בלחיצה על האייקון החדש:
נעילת פגישה,
הפעלת מצב ״חדר המתנה״ למניעת כניסה של גורמים לא רצויים,
סילוק משתתפים בעייתיים,
הגבלת משתתפים במפגש ל: שיתוף מסך, ניהול צ׳ט ושינוי תכנים שמועברים ע"י מארגן המפגש.
 
סרטון ההדגמה
https://youtu.be/6JbDfXIElT0
 
עדכון 18.6.20, 10:35: זום: כל המשתמשים - חינמים ומשלמים בזום יוכלו לנהל שיחות בהצפנה מקצה לקצה. שלב הבטא לבדיקת היישום בשטח: תחילת יולי 2020.
 
זום הודיעה, שנמצא פתרון לבעיה ,שהעסיקה באחרונה את החברה: יישום הצפנה מלאה ׳מקצה לקצה׳ (E2EE), כשהפתרון יוצע לכל המשתמשים בזום, בין אם מדובר במשתמשים משלמים ובין במשתמשים ה׳חינמים׳. החברה העלתה ל-GitHub את עיצוב ה- E2EEהמעודכן.
 
כדי לאפשר זאת, המשתמשים בחינם/משתמש ה׳בסיס׳, שירצו גישה ל-E2EE, ישתתפו בתהליך חד פעמי, שיבקש מהמשתמש לקבל מידע נוסף, כגון אימות מספר טלפון באמצעות הודעת טקסט.
 
החברה מתכננת להתחיל את הבטא המוקדם של תכונת E2EE ביולי 2020. כל משתמשי זום ימשיכו להשתמש בהצפנת AES 256 GCM כהצפנת ברירת המחדל, אחד מתקני ההצפנה החזקים ביותר הקיימים כיום.
 
E2EE תהיה תכונה אופציונלית, שכן היא מגבילה פונקציונליות של פגישות מסוימות, כמו היכולת לנהל פגישות באמצעות קווי טלפון PSTN מסורתיים, או מערכות חדרי ישיבות מסוג SIP/H.323. המארחים יפעילו או יכבו את E2EE על בסיס כל פגישה.

עדכון 25.6.20, 14:55: זום מינתה את ג׳ייסון לי, למנהל אבטחת מידע ראשי. הוא מביא עימו לחברה 20 שנות ניסיון באבטחת מידע, בעיקר מתפקידו האחרון כסגן נשיא לאבטחה בחברת Salesforce ולפני כן מתפקידו בחברת מייקרוסופט, שם שימש כמנהל הנדסת אבטחה. במסגרת תפקידו הוא יתמקד במשימת השמירה על ביטחונם ופרטיותם של המשתמשים.

עדכון 13.9.20, 13:40:  זום הוסיפה שכבת אבטחה נוספת לפלטפורמת שיחות הווידאו שלה - אימות דו-שלבי (2FA). התוספת החדשה מקלה על המשתמשים, ובעיקר העסקיים והארגוניים, להגן על עצמם ולמנוע דליפות מידע, או תקלות חדירה לשיחות פרטיות. מעתה ניתן לבקש מהמשתמשים ׳להציג׳ יותר מהוכחה אחת לזהותם האמיתית.
 
משמעות האימות הדו-שלבי היא, שבמקום להסתפק בהזנת סיסמה לצורך הזדהות והתחברות, מוסיפים עוד אמצעי אבטחה נוסף בדרך, בין אם באמצעות קוד, שמיוצר בכל פעם מחדש ונשלח למכשיר המתחבר לשיחת הווידאו כמסרון, או באמצעות אפליקציה ייעודית. המשמעות: גם אם מסיבה כלשהי סיסמת השיחה דלפה החוצה, היא תהיה בלתי שמישה בלי השלב השני של תהליך האימות.
 
עסקים, שיעשו שימוש בתכונה החדשה, יפחיתו את הסיכון בגניבת זהות ודליפות מידע בכך, שהם יקשו על גורמים זדוניים לנחש סיסמאות או להשיג גישה לא רצויה למחשבים או סמארטפונים של משתמשים. לעסקים קטנים או בתי ספר המשמעות היא גם חסכון כספי, שכן במקום לשלם על שירות SSO (ניהול זהויות משתמשים) ניתנת להם כעת בחינם דרך יעילה לאימות המשתמשים.
 
באמצעות 2FA ניתן גם להשתמש באפליקציות ייעודיות שתומכות בפרוטוקול Time-Based One-Time Password (TOTP) דוגמת Google Authenticator, Microsoft Authenticator, FreeOTP, או פשוט לבקש מזום לשלוח קוד באמצעות SMS, או לבצע שיחת טלפון, כאמצעי זיהוי נוסף לגישה לחשבון של זום.
 
כדי לאפשר את ה- 2FA של Zoom ברמת החשבון לצורך אימות מבוסס סיסמה, על מנהלי החשבון לנקוט בצעדים הבאים:
 
היכנסו ללוח המחוונים של זום.
בתפריט הניווט, לחצו על Advanced ואז על Security.
ודאו, שאפשרות כניסה באמצעות אימות דו-שלבי (Sign in with Two-Factor Authentication) מופעלת.
בחרו אחת מהאפשרויות הבאות כדי להפעיל 2FA עבור:
כל המשתמשים בחשבון: אפשרו 2FA לכל המשתמשים בחשבון.
משתמשים עם תפקידים ספציפיים: אפשרו 2FA לתפקידים עם התפקידים שצוינו. לחצו על ׳בחר תפקידים שצוינו׳, בחרו את התפקידים ואז לחצו על אישור.
משתמשים השייכים לקבוצות ספציפיות: אפשרו 2FA למשתמשים שנמצאים בקבוצות שצוינו. לחצו על סמל העיפרון, בחרו את הקבוצות ואז לחצו על אישור.
לחצו על 'שמור' כדי לאשר את הגדרות 2FA שלכם.

 
עדכון 17.11.20, 09:40: זום הוסיפה 3 תכונות אבטחה חדשות למלחמה במפריעים:
 
אופציית ״השעה משתתף״ (Suspend Participant Activities) מאפשרת למארחי פגישות ווידאו להשעות זמנית את השיחה ולסלק משתמש פוגעני ובמקביל להעביר דיווח לצוות האבטחה של החברה. בסיום ניתן לחזור במהירות וללא הפרעות למהלך השיחה התקין. ההפעלה פשוטה: ניגשים לתפריט האבטחה, בוחרים “Suspend Participant Activities”, מאשרים את הבחירה ולוחצים “Suspend.”. ההשעיה מיידית ומתבצע צילום מסך אוטומטי לתיעוד. התכונה החדשה זמינה לכל המשתמשים, משלמים ובחינם בגרסת זום 5.4.2 ומעלה.
 
אופציית ״דיווח על ידי משתתפים״ (Report by Participants) מאפשרת למשתתפי פגישות זום לדווח מיוזמתם על משתתפים מפריעים או לא מוזמנים היישר מתוך היישום. הדיווח מתבצע ע"י לחיצה על אייקון האבטחה מצד שמאל במסך. השירות זמין לכל המשתמשים החדשים ולחלק מהלקוחות הקיימים - תלוי בתוכנית בה הם נמצאים. בסיום השיחה מקבל המתלונן מייל המבקש השלמת פרטים על התקרית. אי השלמת התלונה מונעת את המשך הטיפול.
 
התראת ׳הפגישה שלך בסכנה׳ (At Risk Meeting Notifier) - זום סורקת פוסטים ברשתות חברתיות ובמקורות פומביים נוספים למציאת לינקים לשיחות זום. החברה מדגישה, שהמידע שנאסף הוא מידע הזמין לקהל הרחב. כאשר המערכת מאתרת מידע על שיחות זום, שאולי יאפשר לאנשים לא מוזמנים להיכנס אל השיחות, המערכת תתריע בפני מנהלי המפגשים על הסיכון.