你的公司也用Zoom開會嗎?軟體爆資安、隱私危機 CEO道歉公開道歉承諾修補漏洞

2020-04-05 13:30

? 人氣

通訊軟體「ZOOM」的執行長袁徵為軟體的資安及隱私問題公開道歉(資料照,AP)

通訊軟體「ZOOM」的執行長袁徵為軟體的資安及隱私問題公開道歉(資料照,AP)

在全球用戶提出批評後,通訊軟體Zoom宣佈暫停任何新功能的開發,以專注於安全和隱私問題。

這個視頻會議應用程序的首席執行官袁徵(Eric Yuan)在部落格中對安全問題「無法達到標凖」致歉,並承諾將解決這些問題。

他說,在冠狀病毒大流行之前,他沒有預測到Zoom的使用者會以前所未有的方式暴增。

一位安全專家說,他希望這家公司文化會因此改變。

由於在許多國家都因為病毒關閉邊界,Zoom現已被數百萬人用於工作和休閒上。

袁徵坦承Zoom的使用者是一夜之間暴增。他說:截至2019年12月底,包含免費和付費的使用者,Zoom虛擬會議人數最多的一日使用者曾經達1000萬人。但今年3月,我們曾有一天超過2億使用者的紀錄。

他承認,儘管公司「整日不間斷工作」以支持湧入的新用戶,但該服務「仍未達到對使用社群(以及我們自己)對隱私和安全性之期望」。

「為此,我深感抱歉。」袁徵寫道。他解釋,「我們當初設計產品時,並未預設在短短幾周內,全世界每個人都會突然在家工作,學習和社交。」

我們現在擁有廣泛的用戶群體,以各種意想不到的方式使用我們的產品,從而給我們帶來了設計這個產品時沒有想到的各種挑戰,」 袁徵補充。

Zoom因一連串隱私問題遭致批評,包括將用戶數據發送到Facebook,錯誤地聲稱該應用程序具有「端到端加密」以及允許虛擬會議主持人追蹤到參與會者的資料(譬如IP等)。

前國家安全局(NSA)駭客沃德(Patrick Wardle)發現了Zoom的一系列問題,其中包括一個資訊安全漏洞,該漏洞讓使用蘋果電腦(Mac)的用戶,在使用該軟體時,電腦網路攝影機和麥克風更容易被駭客入侵。網路安全顧問格雷厄姆·克魯利(Graham Cluley)稱,Zoom現在面臨「危機」。

「由於Zoom對處理安全和隱私問題不夠完善的態度已經傳開了,它有可能失去已經累積的眾多好感。」 他說。

他又表示Zoom正在解決一些「嚴重的漏洞」,並認識到有必要將重點放在資訊安全上,而不是繼續「製造麻煩」。

他補充說:「我們希望該公司文化會因為這次事件,一改之前的『快速和輕鬆』的態度。」

「Zoom轟炸」

Zoom開始擁有海量使用者,也創造了一種新的「zoombombing」 (zoom 轟炸)現象。

這種現象是指不被邀請的不速之客突然加入視訊會議,通常不是大聲叫囂,就是分享色情內容或發表種族主義言論。

惡作劇者可以通過社交媒體平台或網站上公開共享的視訊會議鏈接,找到視訊會議的詳細信息。或者在某些情況下,只需猜測九位數的ID碼即可找到會議的細節。

但是,如果這些會議使用保護過的會議密碼,或不允許主持人以外的任何人進行分享視頻,就可以防止攻擊。

袁徵於2011年在美國創立了Zoom,他說現在該公司為解決安全疑慮而採取的步驟如下:

  • 對加密方法進行說明
  • 刪除從iOS應用到臉書的共享代碼
  • 發佈與Mac相關問題的修復程序
  • 刪除與領英網站(LinkedIn)之連接,以防止不必要的數據洩露
  • 發佈如何避免成為「zoom轟炸」受害者的說明

在接下來的90天內,該公司又計劃:

  • 暫時凍結新功能開發,以專注於安全和隱私
  • 與獨立專家進行審查,以了解新客戶所需的新安全功能
  • 編寫有關數據請求的透明度報告
  • 擴大其「漏洞賞金」計劃
  • 每周舉行一次網路研討會,以提供隱私和資訊安全更新

趨勢科技( Trend Micro)資訊安全研究部門副總裁弗格森(Rik Ferguson)對該公司所做的更改表示歡迎。他說:「所有的問題都被提到了:從配置和寬鬆的程式預設裝置,軟件漏洞,公司策略和產品路線圖的決定,這些在Zoom的部落格文章中都痛苦的披露。」

「大家應該對一個公司感到同情:Zoom是在疫情大流行期間率先提供免費服務的組織之一,然後發現自己不僅是決策不力的受害者,而且是自身產品成功的受害者。」

高風險

英國一直有關於政府是否應使用Zoom召開內閣會議的辯論。

政府證明其在「前所未有的時期」使用Zoom是合理的,因為當時一些政府官員是在家自我隔離,而在家中無法獲得更安全的技術支援。

但是,當英國首相強森(Boris Johnson)發了一張推文,其中照片披露他最近一次會議的認證編號時,關於Zoom安全性的辯論就愈演愈烈。

另外,根據報導,出於安全考慮,馬斯克(Elon Musk)旗下的SpaceX公司已經禁止用Zoom召開會議。 美國太空總署(NASA)是Space X的最大客戶之一,也同樣禁止員工在工作上使用Zoom。

克魯利解釋,任何使用Zoom進行敏感對話的人都必須小心。

「解決這些問題將需要時間。而且,對於那些特別高風險的Zoom用戶,他們的討論常常牽涉高敏感議題。這些用戶(譬如英國內閣)也可能成為其他國家發起網路攻擊的目標。因此,現在開始尋找更安全的通訊方式是比較明智的做法。」

關鍵字:
風傳媒歡迎各界分享發聲,來稿請寄至 opinion@storm.mg

本週最多人贊助文章