龙山百科网
因新冠肺炎(COVID-19)衝击而衍生的在家工作、远距教学潮流,带动了包含 Zoom、Microsoft Team、Google Hangout Meets 等视讯会议工具的兴起。然而其中的 Zoom 近期陆续爆发严重资安问题,让用户对它的好感骤降,成为近期热议焦点。外媒报导发现竟然有超过 3 百名 Zoom 用户的资料在暗网(Dark web)被盗卖,令人对于它的安全性更感忧心。
《Mashable》报导,网路安全机构 Sixgill 的分析师 Dov Lerner 发现,有 352 名 Zoom 用户的帐号资料遭到盗取,并且在暗网(无法被一般搜寻引擎索引,只能使用特殊软体、特殊授权才能存取的网路)被转卖,当中包含了电子邮件信箱以及帐号密码、会议ID、还有主办人姓名等资料。其中,被盗卖的 Zoom 用户资料还被分级,包含付费购买企业版或商用版的种类,显示这些帐号具有更高的价值。
分析师 Dov Lerner 指出,这些遭到盗卖的 Zoom 用户资料,主要都是个人用户,大多来自使用 Zoom 来进行线上教学与视讯会议的教育机构以及小型公司团体;其中,他还发现有一名用户是美国主要医疗保健用品的供应商。
Zoom 是以主打视讯会议功能起家的服务,提供免费版单次会议时间 40 分钟、企业版则没有限制时间的服务。疫情期间,Zoom 还将免费版同时会议人数上限从 10 人调升为 100 人,因此当在家工作、远距教学潮兴起时,成为不少机构与个人的选项之一。不过却持续爆发资安疑虑,包含美国联邦调查局(FBI)提醒,Zoom 因为爆红已经成为网路犯罪者的最新目标;前国家安全局(NSA)员工、兼网路安全研究者Patrick Wardle则是发现 Zoom 的 Mac 版本存在一个漏洞,会让电脑的摄影镜头以及麦克风更容易被骇客入侵。此外还包含 Zoom iOS版使用了 Facebook 软体开发套件(SDK)而会向 Facebook 传送许多非必要资讯(设备萤幕尺寸、系统版本等等)资料(此问题已修復),资安问题不断。
因此,行政院也在 4 月 7 日通函各公务机关及特定非公务机关,若因业务需求必须召开远端视讯会议,不应使用具资通安全疑虑的产品,例如ZOOM。后续也要求各级学校不要用ZOOM来进行远距教学。中华电信也宣布停售 Zoom 相关产品。
此外,继先前美国太空总署(NASA)以及太空探索技术公司(SpaceX)纷纷宣布禁止员工使用 Zoom 之后,《Business Insider》也报导,Google 也因为 Zoom 的资安疑虑,禁止员工使用 Zoom。
针对 Zoom 所爆发的一连串资安问题,Zoom CEO 袁徵(Eric Yuan)在稍早之前进行的 YouTube 直播中,也直接向公眾道歉,并且直接回答网路问题长达两个多小时。针对产品所包含的资安疑虑,Zoom 已经透过官方部落格宣布,未来 90 天内将会暂停更新产品,专注于修復资安相关问题,并且将针对如何避免「zoombombing」(未经邀请的使用者突然加入视讯会议、且发表色情内容或种族歧视言论的新兴问题)提出解决方法。
3个月身价飙6百亿 Zoom创办人如何从天堂跌到地狱? 网友问哪个视讯软体安全?竟然钓出唐凤本人 远距工作当心资安漏洞 四大视讯软体对比谁最安全? 文章来源:Mashable
(中时电子报)
#Zoom
#暗网
#个资
#帐密
#Google
#视讯会议
#禁止
#在家工作
#疫情
#WFH
#资安
