會議軟件Zoom偷偷向臉書發送用戶數據被告 相關SDK已移除

美國日益嚴峻的新冠肺炎疫情讓遠程辦公行業成為風口。

在視頻會議軟件Zoom藉助疫情的“東風”一炮而紅的當口,卻被曝出未告知用戶便向Facebook發送用戶數據,還會洩露姓名、頭像和郵箱地址給陌生人。

会议软件Zoom偷偷向脸书发送用户数据被告 相关SDK已移除

3月28日,Zoom發佈更新,改進了相關功能,第二天又發佈了新版隱私政策,與第三方廣告商共享數據的條款得到細化。經科技媒體《Motherboard》驗證,最新版App不再在開啟時向Facebook發送數據。

...1...

Zoom向Facebook發送用戶設備信息

最新數據顯示,美國累計確診人數直逼20萬。據南都記者不完全統計,目前已有至少14個州和23個自治市下令要求居民待在家中,另有至少三個州和11個自治市的命令即將生效,涉及美國超過一半人口。

疫情之下,遠程辦公、上學成了剛需,Zoom站上了風口。

從1月底至今,Zoom的市值實現翻番。3月30日數據顯示,佔有最大市場份額的Zoom在美國的日活用戶數達到創紀錄的484萬,是第二名的三倍。

3月26日,《Motherboard》刊文指出,在iOS系統下載或打開Zoom App時,App內嵌的Facebook SDK(軟件開發工具包)會向Facebook傳送用戶的手機型號、時區、城市、運營商以及廣告唯一標識符等信息。

這不僅僅發生在用戶使用Facebook賬號登錄Zoom的時候,也發生在壓根兒沒有Facebook賬號的用戶身上——他們的信息也被髮送給了Facebook。

事實上,Facebook就旗下SDK 可能收集用戶數據一事做出了清晰地說明:“包括Facebook在內的第三方可能從你和其他App上收集或獲取信息,並用於提供評估服務和定向廣告。”

由於用戶對SDK難以感知,Zoom有義務在隱私政策中明確告知SDK的存在。Facebook也嚴格規定:“如果你使用我們的SDK,就代表你保證就用戶數據收集、共享和使用向用戶提供了足夠有力且明確的告知。”

然而,Zoom的隱私政策裡僅提到:“我們的第三方服務提供商和廣告合作商(比如谷歌廣告和谷歌分析)會自動收集你在使用我們產品時的一些信息”,但隻字未提Facebook,以及具體會涉及哪些信息。

...2...

Zoom:已移除Facebook SDK

次日,Zoom CEO Eric Yuan發表了回應。

他解釋,一直到3月25日,他們才發現Facebook SDK收集了不必要的設備信息,但這些信息不包括參會者的姓名和筆記等,而是諸如廣告唯一標識符、IP地址、磁盤空間等設備相關信息。

“我們決定從iOS客戶端移除Facebook SDK,並修改了相關功能,現在用戶仍然可以使用Facebook賬號從瀏覽器登錄Zoom。”他表示,用戶已經可以下載最新版Zoom。

“我們真誠地為此次事件引發的關注道歉,也將持續致力於保護用戶隱私”,Yuan說,“我們正在審查流程和協議,以便將來實現這些功能時,類似事件不會再次發生。”

29日,Zoom進一步修改了隱私政策,稱從未出於廣告目的向第三方提供有關Zoom用戶活動的任何數據(包括視頻、音頻和聊天內容),用戶可點擊網站底部的Cookie選項修改。

“最重要的是,Zoom不會挖掘用戶數據或向任何人出售任何用戶數據。”Zoom在公告裡寫道。

...3...

加州居民告Zoom違反消費者隱私法案

儘管Zoom信誓旦旦不會侵犯用戶隱私,但基於此前未明確告知用戶就允許第三方SDK收集用戶數據的行為,美國加利福尼亞州居民Rober Cullen還是對它提起了訴訟。

“廣告唯一標識符允許公司向用戶精準推送廣告……這些信息被Zoom發送給了Facebook,無論用戶有沒有Facebook賬號。”訴狀稱,如果Zoom事先告知其沒有足夠的安全能力,並允許第三方獲取用戶的個人信息,“我們不會使用它”。

因此,Cullen認為,Zoom違反了《加州反不正當競爭法》《消費者法律救濟法》。此外,還因收集消費者個人信息前未充分告知、未經授權披露消費者個人信息,違反了《加州消費者隱私法案》的相關條款。

訴狀還提到,Zoom通過共享用戶數據獲利,但並未披露具體金額。

南都記者瞭解到,紐約州總檢察長Letitia James已要求Zoom提供將如何保護用戶數據的細節說明。她在信中表示,她“擔心Zoom現有的安全措施可能不足以適應最近激增的網絡傳輸量和敏感數據。”

“儘管Zoom修復了特定的安全漏洞,但我們仍想了解Zoom是否對其安全實踐進行了更廣泛的審查。”James說。對此,Zoom發言人回應稱,將按照James的要求提供相關信息。

...4...

新漏洞會洩露用戶姓名照片郵箱

3月31日,Zoom的另一個功能設置漏洞被《Motherboard》的同一個作者發現。

Zoom的“公司目錄”下會展示使用同一郵箱域名的同事姓名、頭像和郵箱,由系統自動判斷,省掉了一個個添加同事的麻煩。但也帶來了一個隱患:如果用戶用私人郵箱註冊,可能會看到同樣使用該郵箱域名的陌生人。

“如果你用一個非標準服務商的郵箱(Gmail、Hotmail或雅虎等常用域名之外的域名)訂閱Zoom,你可以看到所有使用那個小眾域名的用戶……你還可以給他們打視頻電話。”Zoom用戶Barend Gehrels說。

對此,Zoom發言人表示,Zoom 有一個域名錶,會定期主動標識要添加的域名。Gehrels 反映的域名剛好不在此列,不過目前已經添加。他還提到,用戶可以在“公司目錄”功能中要求移除特定域名。

據悉,此前Zoom在個人隱私保護方面就遭受過不少質疑。

去年七月,一個安全研究員披露了Zoom的一個漏洞,任意網站都可以在不申請授權的情況下觸發蘋果電腦的攝像頭。今年一月,又有安全公司發現Zoom存在被黑客監聽通話的漏洞。

会议软件Zoom偷偷向脸书发送用户数据被告 相关SDK已移除

最近,電子前沿基金會指出,會議組織者可以看到參會者的Zoom窗口是否打開,也就是說,他們可以監控人們是否在專心開會。此外,管理員還能看到每個參會者的IP地址、位置信息和設備信息。

截至發稿,Zoom暫未作出回應。

綜合、編譯:南都記者蔣琳


分享到:


相關文章: