在全球用戶提出批評後,通訊軟體Zoom宣佈暫停任何新功能的開發,以專注於安全和隱私問題。
這個視頻會議應用程序的首席執行官袁徵(Eric Yuan)在部落格中對安全問題「無法達到標凖」致歉,並承諾將解決這些問題。
他說,在冠狀病毒大流行之前,他沒有預測到Zoom的使用者會以前所未有的方式暴增。
We appreciate the scrutiny and questions we have been getting – about how the service works, about our infrastructure and capacity, and about our privacy and security policies. These are the questions that will make Zoom better [Blog Post] https://t.co/tDcWxRIF2V by @ericsyuan
— Zoom (@zoom_us) April 2, 2020
一位安全專家說,他希望這家公司文化會因此改變。
由於在許多國家都因為病毒關閉邊界,Zoom現已被數百萬人用於工作和休閒上。
袁徵坦承Zoom的使用者是一夜之間暴增。他說:「截至2019年12月底,包含免費和付費的使用者,Zoom虛擬會議人數最多的一日使用者曾經達1000萬人。但今年3月,我們曾有一天超過2億使用者的紀錄。
Zoom has a dark side.The FBI is warning millions of Americans that the videoconference platform has a chance of getting hijacked — and its security measures “just seem to be completely missing.” https://t.co/vfuHWiN8iZ
— NPR (@NPR) April 4, 2020
他承認,儘管公司「整日不間斷工作」以支持湧入的新用戶,但該服務「仍未達到對使用社群(以及我們自己)對隱私和安全性之期望」。
「為此,我深感抱歉。」袁徵寫道。他解釋,「我們當初設計產品時,並未預設在短短幾周內,全世界每個人都會突然在家工作,學習和社交。」
「我們現在擁有廣泛的用戶群體,以各種意想不到的方式使用我們的產品,從而給我們帶來了設計這個產品時沒有想到的各種挑戰,」 袁徵補充。
Zoom因一連串隱私問題遭致批評,包括將用戶數據發送到Facebook,錯誤地聲稱該應用程序具有「端到端加密」以及允許虛擬會議主持人追蹤到參與會者的資料(譬如IP等)。
Zoom chief Eric Yuan says he is working to improve the reputation of the platform that has drawn soaring usage and privacy concerns during the crisis https://t.co/mCFzVX2kSS
— The Wall Street Journal (@WSJ) April 4, 2020
前國家安全局(NSA)駭客沃德(Patrick Wardle)發現了Zoom的一系列問題,其中包括一個資訊安全漏洞,該漏洞讓使用蘋果電腦(Mac)的用戶,在使用該軟體時,電腦網路攝影機和麥克風更容易被駭客入侵。網路安全顧問格雷厄姆·克魯利(Graham Cluley)稱,Zoom現在面臨「危機」。
「由於Zoom對處理安全和隱私問題不夠完善的態度已經傳開了,它有可能失去已經累積的眾多好感。」 他說。
他又表示Zoom正在解決一些「嚴重的漏洞」,並認識到有必要將重點放在資訊安全上,而不是繼續「製造麻煩」。
他補充說:「我們希望該公司文化會因為這次事件,一改之前的『快速和輕鬆』的態度。」
「Zoom轟炸」
Sen. Sherrod Brown is asking the FTC to investigate Zoom for deceptive practices, adding to the growing chorus of concerns over the popular video chat software's privacy and security flaws. https://t.co/l7t4gnHQcG
— NPR (@NPR) April 4, 2020
Zoom開始擁有海量使用者,也創造了一種新的「zoombombing」 (zoom 轟炸)現象。
這種現象是指不被邀請的不速之客突然加入視訊會議,通常不是大聲叫囂,就是分享色情內容或發表種族主義言論。
惡作劇者可以通過社交媒體平台或網站上公開共享的視訊會議鏈接,找到視訊會議的詳細信息。或者在某些情況下,只需猜測九位數的ID碼即可找到會議的細節。
但是,如果這些會議使用保護過的會議密碼,或不允許主持人以外的任何人進行分享視頻,就可以防止攻擊。
袁徵於2011年在美國創立了Zoom,他說現在該公司為解決安全疑慮而採取的步驟如下:
- 對加密方法進行說明
- 刪除從iOS應用到臉書的共享代碼
- 發佈與Mac相關問題的修復程序
- 刪除與領英網站(LinkedIn)之連接,以防止不必要的數據洩露
- 發佈如何避免成為「zoom轟炸」受害者的說明
在接下來的90天內,該公司又計劃:
- 暫時凍結新功能開發,以專注於安全和隱私
- 與獨立專家進行審查,以了解新客戶所需的新安全功能
- 編寫有關數據請求的透明度報告
- 擴大其「漏洞賞金」計劃
- 每周舉行一次網路研討會,以提供隱私和資訊安全更新
趨勢科技( Trend Micro)資訊安全研究部門副總裁弗格森(Rik Ferguson)對該公司所做的更改表示歡迎。他說:「所有的問題都被提到了:從配置和寬鬆的程式預設裝置,軟件漏洞,公司策略和產品路線圖的決定,這些在Zoom的部落格文章中都痛苦的披露。」
「大家應該對一個公司感到同情:Zoom是在疫情大流行期間率先提供免費服務的組織之一,然後發現自己不僅是決策不力的受害者,而且是自身產品成功的受害者。」
An analysis by The New York Times found 153 Instagram accounts, dozens of Twitter accounts and private chats, and several active message boards on Reddit and 4Chan where thousands of people had gathered to organize Zoom harassment campaigns https://t.co/2HMr87Ey7t
— The New York Times (@nytimes) April 3, 2020
高風險
英國一直有關於政府是否應使用Zoom召開內閣會議的辯論。
政府證明其在「前所未有的時期」使用Zoom是合理的,因為當時一些政府官員是在家自我隔離,而在家中無法獲得更安全的技術支援。 (相關報導: 新冠肺炎》全美確診突破30萬!川普:接下來一周最為艱困、將出現更多死亡 | 更多文章 )
但是,當英國首相強森(Boris Johnson)發了一張推文,其中照片披露他最近一次會議的認證編號時,關於Zoom安全性的辯論就愈演愈烈。
