受疫情影響,ZOOM 兩個月時間經歷其他大公司數年的波折
據報道,過去兩個月裏,隨着全球疫情爆發,ZOOM成了外國最火的應用,除了開會、辦公、上課,還被用來唱k、組酒局……美國大學生甚至在上面相親,ZOOM 的下載量猛增了幾十倍。據公開資料顯示,ZOOM日活量一度突破2億,而這一數字在去年12月底還僅爲1000萬左右。
與此同時,ZOOM還被爆出大量負面新聞。關注網絡安全的人紛紛指責ZOOM對用戶數據處理不當或濫用,其技術設計上的漏洞被黑客利用後胡作非爲更是廣爲詬病,在學校和大學都停課之後,又曝光說有人入侵了小學生的ZOOM虛擬教室,展示了少兒不宜的內容……
網絡安全問題讓ZOOM的負面報道如山洪爆發
據《華盛頓郵報》等多家外媒報道,ZOOM存在嚴重的隱私安全漏洞,最直觀的負面結果是其造成了目前至少15000名用戶視頻記錄被公開在網上,所有人都可以點擊觀看。
被曝光的用戶視頻
據美國國家安全局的前研究員帕特里克·傑克遜(Patrick Jackson)爆料,由於ZOOM命名方式單一,且其部分視頻存在在一個不受密碼保護的雲存儲空間中,導致他可以搜索到15000個陌生人的視頻。公開視頻中包括許多企業的在線會議錄像,其中甚至包含公司財務報表、員工姓名電話等信息,此外還有許多學校網課視頻、私人間的親密對話也被公開。
彷彿一夜之間,ZOOM從遠程辦公軟件的人生贏家,變成了“流氓軟件”。
3 月 26 日,據外媒報道,安裝了ZOOM 的iOS 用戶數據會被共享給Facebook,即使該用戶並沒有Facebook賬號。3 月 28 日ZOOM 作出反應,稱其刪除了相關代碼。
3 月 30 日,更大的安全隱患被曝光——黑客可通過一個新的漏洞,接管 ZOOM 用戶的 Mac,包括竊聽網絡攝像頭併入侵麥克風。也因此出現了會議中出現色情、暴力、種族言論等內容的畫面。
4月8日,谷歌也以安全原因爲由,禁用了員工筆記本上的視頻會議軟件ZOOM。事件持續發酵,多家企業先後宣佈禁用ZOOM會議系統,美國NASA和FBI也對ZOOM採取了禁用措施。
ZOOM選擇傾注所有資源去修復
隨着網絡安全事件的爆發,ZOOM的反應也不慢,一件接着一件努力做修補工作。
3 月 26 日,外媒報道安裝了ZOOM 的iOS 用戶數據會被共享給Facebook, 兩天後, 28 日ZOOM作出反應稱刪除了相關代碼,已停止向Facebook發送數據。
4月1日,ZOOM 在其官網博客上,對近期發生的事情進行了全網致歉,並宣佈停止所有新功能的研發,宣佈90天內不再發布新功能,集中精力解決平臺的隱私和安全問題。隨之而來的,是一大批新改進的推行:
4月3日,ZOOM 發起「漏洞賞金」計劃,鼓勵大家去發現漏洞。
4月5日,ZOOM設立一個虛擬的“等候室”,參會者需要經過會議主持的批准,才能加入視頻會議;
ZOOM表示,針對Mac和Windows產品的安全漏洞推出了修復程序,同時還設置了密碼,用戶不再能僅僅通過一個視頻編號,就進入或者闖入一場私人會議。
對於一些有爭議的功能,ZOOM也選擇了先擱置。比如說,ZOOM原本有一個注意力跟蹤功能,該功能可以讓會議主持者查看參會者是否開着ZOOM但在使用其他程序。在公衆的強烈反對之後,ZOOM停用了該功能。
ZOOM贏在“便捷”,但人們最關注的的還是網絡信息安全和隱私保護問題
ZOOM 之所以吸引人,部分是因爲是它是一箇中立的平臺。任何人,甚至沒有賬號的人,都可以通過任何設備僅需點擊文本或電子郵件中的鏈接加入會議。主持人可以錄製視頻和音頻,生成文本轉錄,而且大家都可以輕鬆共享屏幕。同時,如果會議不超過40分鐘,並且與會者不超過100人的話,就可以免費使用ZOOM;每月支付19.99美元的客戶每次視頻會議可以支持1000人蔘會。此外,這項技術還爲用戶提供了一種很討人喜歡的柔焦模式以及數字背景菜單:包括北極光、金門大橋以及未開發的海灘等。這些全景圖像使得家庭用戶不必擔心自己半裸的配偶和孩子會不會出現在網絡攝像頭的視野範圍內。
用了ZOOM視頻的這個功能,開會前不用再整理房間了
但是,3月24日,美國《消費者報告》(Consumer Reports由美國消費者聯盟主辦出版)對 ZOOM的隱私政策是怎麼讓它得以將視頻聊天內容分享給廣告跟蹤公司的細節做了詳細介紹。文章重點披露了主持人是如何不需要參會者許即可錄製視頻或製作和分享轉錄腳本的;主持人還可以瀏覽參會者在該app聊天功能上交換的文本。這份出版物還提到了ZOOM的參會者注意力跟蹤(Attendee Attention Tracking)工具,如果用戶點擊計算機上面的其他窗口超過30秒的話,就會向主持人發出警告,說明此人也許在做別的事情了。ZOOM因其數據收集方式而受到批評,其中包括其收集和存儲“雲記錄、即時消息、文件、白板中包含內容”的權利,以及使僱主能夠遠程監控工人的權利。
在冠狀病毒病疫情期間,ZOOM被廣泛用於在線教育,這引起了對學生數據隱私,尤其是對個人身份信息的擔憂。根據美國聯邦調查局的資料顯示,學生的IP地址、瀏覽歷史記錄、學習進度和生物特徵數據也可能會受到威脅。隱私專家還擔心學校對ZOOM的使用可能會引發有關對學生進行未經授權的監視以及家庭教育權利和隱私權法案下可能侵犯學生權利的問題。雖然ZOOM稱,視頻服務符合美國《家庭教育權利和隱私權法案》,收集用戶數據僅是爲了“提供技術和運營支持”。
從歷史上看,大型的線上服務提供商Facebook、Twitter等都曾被曝出過負面新聞,但是在短短几周內一次性就經歷了這麼多波折,單從其基本經受住了20倍的使用量激增來看,ZOOM已經算是技術過硬的了。
網絡信息安全和隱私保護或已成爲企業的核心競爭力和永續發展動力
ZOOM 的經歷也許是衆多互聯網企業的一個縮影。除了新用戶的大量涌入,以及新冠病毒大流行期間運營企業所遭遇的挑戰以外,企業要面臨的還有大量黑客的技術侵犯。伴隨新冠疫情期間的網絡攻擊不斷活躍,互聯網威脅指數屢創新高,全球用戶對個人隱私和數據安全問題的關注也急速升溫,而業務涉及海量用戶信息的企業的安全能力,尤其是圍繞數據安全展開的安全體系建設、基於風險管理的內外部威脅防禦、人員意識培訓、技術能力培訓等,已經不僅僅是企業合法合規問題,而是企業的核心競爭力和永續發展動力。
雖然網絡安全和隱私保護沒有絕對的安全,但是人們更願意去選擇能夠提供此方面可靠性證明的產品或服務。拋開ZOOM的對與錯,至少人們通過類似事件看到了互聯網企業在網絡安全和隱私保護方面是存在上升空間的。也許有人會問,爲什麼網絡信息安全意識的提升總出現“亡羊補牢”?網絡安全問題影響深遠、廣泛,危及人身、財產、隱私等,它像達摩克利斯之劍,時刻懸在每個網民的頭頂上方。如果讓用戶沒有安全感,那麼再好的產品也會被用戶拒之門外,這也許是衆多網絡產品和服務商最該協助用戶拔掉的一根心中毒刺。
擁有數據的企業,數據是其核心競爭力,管理和控制數據流動,評估相關風險和應採取的安全措施,搭建安全體系是信息安全建設的發展趨勢。網絡信息安全,數據安全保護是一個系統性工程,SCA安全通信聯盟在此建議,企業應該有以業務爲中心的安全戰略,提升以合規爲基礎的安全管理能力,構建以“人”爲中心的安全治理體系,最終落地爲以“數據”爲中心的縱深防禦體系。SCA可爲您提供相應的諮詢與培訓服務,在此推薦瞭解個人數據隱私保護與管理體系 (PIMS, BS 10012:2017) 基礎課程。
PS:本文出自SCA安全通信聯盟,轉載請註明出處。