由於新冠疫情,視頻會議平臺Zoom迎來高光時刻。
Zoom CEO、美籍華人袁徵4月1日發文說,Zoom產品日活用戶從2019年12月的1000萬人激增到3月份的2億人。
但Zoom隨後被曝出現多個安全和隱私問題,引發不少大機構客戶紛紛棄用。據報道,中國臺灣、澳大利亞和德國禁止地方行政機關使用Zoom;美國紐約州禁止學校採用Zoom遠程教學;美國參議院、NASA、馬斯克的SpaceX公司、谷歌、西門子、渣打銀行等機構也禁止員工在工作和/或私人場合使用Zoom。
Zoom目前被披露的安全隱患主要在三個方面:
首先,由於Zoom默認設置都是以方便用戶無需學習就加入會議為目的,這為無關人士擅闖會議偷聽或搗亂敞開了大門。這一行為也被稱為“Zoom炸彈”(zoombombings)。
其次,當用戶在安裝或每次打開iOS版本的Zoom App時,Zoom都會收集其用戶的個人信息,並在未經充分通知或授權的情況下,將這些個人信息洩露給第三方——Facebook公司。
再次,有研究發現,美國用戶和加拿大用戶發起的視頻通話,會議內容的加密和解密密匙是由北京Zoom服務器發出的。簡單地說,也就是“兩個北美人用Zoom視頻聊天,中國還需要北京的服務器插手”。
由於Zoom的創始人的身份為華人,第三個質疑在美國格外突出。美國眾議院議長南希·佩洛西近日在美國國會回答問題時甚至表示,Zoom是一家“中國實體”(a Chinese entity),所以具有安全隱患。
Zoom近期針對上述三項質疑已採取了技術補救,尤其針對美國國內對其數據跨境流動的質疑,近日Zoom在國內一家授權服務商官網發佈消息稱,從4月18日開始,每個付費的Zoom客戶都可以選擇加入或退出特定的數據中心區域。
“免費用戶將被鎖定在其帳戶所在的默認區域內的數據中心。對於我們大多數的免費用戶來說,這就是美國。中國境外免費用戶的數據將永遠不會通過中國傳送。”
Zoom在國內另一家授權服務商的工作人員向21世紀經濟報道記者證實了這一消息,但表示國內Zoom用戶不必擔心自己的信息違規流動至國外。
Zoom是一家“中國實體”?
Zoom數據跨境流動風險原因是用戶的爆炸性增長。
在多倫多大學的Citizen Lab實驗裡,他們研究的時候發現,美國用戶和加拿大用戶發起的視頻通話,會議內容的加密和解密密匙是由北京Zoom服務器發出的。
據國內媒體報道,考慮到Zoom在中國註冊了3家公司,蘇州有700多名開發人員,故而該家實驗室認為通過Zoom視頻通話的用戶,其內容也很容易被中國獲取。
但一名技術人員告訴記者,“Zoom採取分佈式存儲,如果這臺服務器人數滿了以後,肯定要找一臺空閒的。”
目前,Zoom的數據中心分佈在美國、加拿大、歐洲、印度、澳大利亞、中國、拉丁美洲、日本等地。
Zoom創始人、CEO袁徵在一封公開信裡也做出瞭解釋,袁徵表示北美用戶的視頻通話都是中途繞道中國,因為倘若用戶附近的服務器太擁擠了,軟件就會去嘗試連接新的備份服務器,這樣才真正連到了中國的服務器上了。
Zoom即將對此進行技術補救。Zoom在國內一家授權服務商官網4月17日發佈一篇消息稱:
從4月18日開始,每個付費的Zoom客戶都可以選擇加入或退出特定的數據中心區域。
從4月18日開始,對於傳輸中的數據,Zoom管理員和付費帳戶的帳戶所有者可以在帳戶,組或用戶級別選擇退出特定數據中心區域;選擇加入特定的數據中心區域;無法更改或選擇退出默認區域,該區域將被鎖定。默認區域是提供客戶帳戶的區域。對於大多數客戶來說,這就是美國。
這篇文章還針對中國服務器拿出了舉措:
免費用戶將被鎖定在其帳戶所在的默認區域內的數據中心。對於大多數的免費用戶來說,這就是美國。中國境外免費用戶的數據將永遠不會通過中國傳送。
對於居住在中國的用戶,如果帳戶管理員到4月25日仍未選擇進入中國數據中心,則帳戶將無法連接到中國大陸數據中心進行數據傳輸。
提醒一下,中國的會議服務器始終處於防禦狀態,目的是確保中國境外用戶的會議數據不位於中國境外(注:原文如此)。4月3日,刪除了中國所有的HTTPS隧道服務器,以防止通過中國的任何意外連接。
“因為Zoom的創始人是華人,在美國國內不容易被接納,碰巧又發生了美國用戶接入中國服務器的事情,因此發出了這個通知,實際上這是針對國外用戶的。”Zoom在國內一家授權服務商工作人員告訴21世紀經濟報道。
近日有媒體報道,美國眾議院議長南希·佩洛西在美國國會回答問題時表示,Zoom是一家“中國實體”(a Chinese entity),所以具有安全隱患。
但隨後,媒體稱,Zoom成立於2011年,自2011年4月21日起在特拉華州註冊成立。Zoom公司創始人兼首席執行官袁徵在1997年從中國移民至美國,此後成為美國公民。
“炒作安全問題,很多其實是無端指責,是一些國家戴著有色眼鏡看中國企業甚至是華人創辦的企業,僅以產品或服務經營者的所在國別就判斷產品或服務是否安全是非常不理智的。”中國法學會法治研究所副研究員劉金瑞告訴記者。
國內用戶不必擔心數據外流
數據跨境流動的風險其實是多方的,中國用戶是否擔心自己的數據流出國內服務器?
尤其是上述通知也意味著,從4月18日開始,中國大陸的付費Zoom客戶也可以選擇加入或退出特定的數據中心區域。
“這對國內用戶不是問題,因為我們服務商已經根據中國法律為用戶設定好了數據中心區域,即國內的服務器。”上述工作人員說。
通知還指出,對於居住在中國的用戶,如果帳戶管理員到4月25日仍未選擇進入中國數據中心,則帳戶將無法連接到中國大陸數據中心進行數據傳輸。
“這可能意味著,如果國內用戶不選擇進入Zoom的中國數據中心,Zoom就不再提供數據傳輸服務了。”浙江墾丁律師事務所主任張延來說。
《網絡安全法》第三十七條規定,關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。
“應該說絕大部分用戶都會擔心自己的數據外流,我國《網絡安全法》也規定了跨境數據傳輸需要提前進行安全評估,這裡的數據主要是隻涉及到個人信息或者其他重要數據,Zoom視頻會議中的數據我認為就屬於這類數據。”張延來告訴21世紀經濟報道。
排除Zoom炸彈
Zoom另外的安全問題是容易被騷擾和收集分享用戶個人信息。
據報道,在一場通過Zoom進行的關於新型冠狀病毒將如何影響K-12教育政策的網絡研討會上,參會者的屏幕上突然出現了大量色情和種族誹謗圖片。當時,主持人關掉了視頻,但仍無濟於事,音頻後來也被不明人士控制。
這種經歷被稱為“Zoombombing”(Zoom炸彈),即不明身份的人對網絡視頻會議進行惡意攻擊,控制音頻和視頻,以及播放不當材料和評論。
袁徵在公開信裡稱,Zoom最初將未經邀請的參會者稱為“不速之客”。鑑於此後出現了更嚴重、更可惡的攻擊類型,這個術語顯然已不足以滿足要求。嚴厲譴責各類攻擊,並對因此打斷會議的所有用戶深表同情。
這樣的安全事件與Zoom的產品特性有關。安排Zoom會議時,主持人只需與參會者共享一條URL,學生不需要註冊Zoom賬號即可加入。
“Zoom炸彈從技術原理上看是指zoom的會議id過短,任何人可以通過挨個嘗試的方式加入會議室。這樣的技術處理確實跟Zoom之前追求極簡易用的產品理念有關,當然用戶自己的使用不當(例如沒有將會議設置為隱私狀態等)也是導致出現信息洩露的原因。”張延來告訴21世紀經濟報道。
目前,Zoom採取了一些技術補救措施,比如對於會議和網絡研討會,帳戶所有者和管理員可以配置極低會議密碼要求,以調整極小長度,並要求字母,數字和特殊字符。默認情況下,所有免費的Basic帳戶都將啟用字母數字選項。用於新安排的會議和網絡研討會的一次性隨機生成的會議ID將為11位數字,而不是9位數字等。
修補第三方SDK
Zoom的隱私漏洞體現在,當用戶在安裝或每次打開iOS版的Zoom App時,因為內嵌了Facebook的SDK問題,無論使用Zoom的用戶有沒有註冊Facebook賬戶,Zoom內嵌的這個SDK都會向Facebook傳遞用戶的手機型號、時區、所在城市、運營商以及廣告唯一標識符等信息。
而Zoom的隱私政策卻沒有明確描述如何使用第三方SDK的內容。
Zoom隨後採取了一些舉措,3月27日,刪除了iOS客戶端中的Facebook SDK,並重新對其進行配置,以防止其從用戶那裡收集不必要的設備信息。
3月29日,更新了隱私政策,使收集的數據以及如何使用這些數據更加清晰透明,並明確表明不會出售用戶數據,過去從未出售過用戶數據,未來也無意出售用戶數據。
在這次疫情期間,作為辦公軟件領域的頭部企業,Zoom是名副其實的超級明星股。自今年1月底以來,Zoom的股價從76美元左右飆升到3月30日收盤的151美元。即便中間經歷了3次美股熔斷,這位美股市場的明星仍然在兩個月時間裡市值翻了一倍。
但出現安全問題後,半個多月以來,Zoom的股價持續徘徊在這一水平,4月17日收盤價為150.06美元。
更多內容請下載21財經APP
