Zoom,現在是風口浪尖上的企業了。
疫情一來,用戶數和股價齊飛,但問題也出現的不要太頻繁。
一方面進入隱私洩露危機,一方面又因為有中國的公司和服務器而被質疑。
但,使用Zoom的用戶們似乎更慘。昨夜,有媒體曝出53萬Zoom賬號密碼被公開在暗網叫賣,而且價格特別便宜,1個賬號只賣0.002美分,總共才10美元左右。
換算成人民幣,差不多一個賬號0.00014元,1分錢能買71個。
要知道,開Zoom會員,一個賬號一個月就要19.99美元(140元人民幣)啊!注意這個價格不是年費,是月費,比視頻網站外賣網站貴好多好多倍。
而且,這些被公開出售的賬號,還有不少是來自花旗銀行、佛羅里達大學等知名機構的。
可是,Zoom的股價在被曝出消息後還大漲了。
真是難為這些用戶了,不好用,還沒得選。
撞庫獲得53萬賬戶密碼
用戶賬號密碼洩露的消息,來自網絡安全公司Cyble。這家公司日常一直在監控暗網,好發現有沒有自己的客戶信息洩露或者被盜號。
這次,Cyble發現,在黑客網站上,有人開始賣Zoom賬號了,總數53萬個。
除了用來賣的部分,黑客還挑出了290個“試用裝”免費發佈,這些賬號來自佛蒙特大學、科羅拉多大學、佛羅里達大學等多所高校。
△ “試用裝”賬戶
美國媒體BleepingComputer聯繫了部分被免費曝光的用戶,發現其中不少數據都是正確的,而有一位用戶說,這個密碼是他之前用的舊密碼。
這也就意味著,來源是——撞庫。
直白來說,就是在之前的各種賬號密碼洩露的事件中,黑客自己收集了一批賬號密碼,然後挨個在Zoom上試,把試成功的賬號密碼單獨拉個表格拎出來賣。
這就非常尷尬了,53萬賬戶,黑客肯定不會手動去一個一個複製粘貼登錄,這個過程一定是自動進行的,但被撞庫成功,意味著Zoom可能沒有做足充分的保護措施。
Cyble買了這53萬個賬戶,用來給自己的用戶發賬戶洩露風險的提示。
購買的價格是每個0.002美分,總共花費才10.6美元,74塊人民幣。
價格不貴,估計也掙不了幾個錢,Cyble說黑客把這些掛出來,主要是為了裝嗶——顯得自己很厲害的樣子。
他們發現,每個賬戶被洩露的信息包括郵箱、密碼、個人url地址,還有HostKey——就是作為會議主持人管理會議的6位數PIN碼。
而且,從域名來看,這些用戶包括摩根大通的子公司大通銀行、花旗銀行,還有一些教育機構等等知名公司或機構。
銀行的賬戶被洩露,那可不知道會有多少秘密流出。
所以都這樣了,Zoom知道了嗎?怎麼說?
Zoom:我們一定改,但是得交錢
不僅密碼被盜用,Zoom的服務器地址也被詬病。
多倫多大學之前就發現,使用Zoom的幾個人明明都在北美,但是會議數據卻要通過中國服務器。
還有會議的密鑰是在中國的服務器上生成的。
想象一下,如果是中國人在國內開會,但是數據全都經過美國,密鑰也在美國生成,難免不讓人懷疑啊,所以用戶當然不幹了。
在外界的質疑聲中,Zoom只好加入給用戶選擇任意選擇服務器的功能,前提是付費,免費用戶仍然沒有選擇的權利。
至於為何要用中國服務器,Zoom CEO袁徵也公開解釋,因為新冠疫情,導致用戶數量激增,去年12月每日用戶才1000萬,今年3月已經增長到2億,需要大量增加服務器。
所以Zoom才不得不去選擇中國的服務器,因為沒有考慮到地理因素,某些會議可能會被鏈接到中國的服務器上。
但這種解決問題的進度,現在網友們可等不了。
都已經在給Zoom提供“抄作業”參考了。
網友:抄下開源軟件的作業吧
既然想用高級功能還要加錢,那就只能讓部分用戶叛逃了。Zoom不安全又不免費,那就找個更安全的免費軟件替代它吧。
國外飽受Zoom折磨的網友推薦使用開源軟件Jitsi Meet,不僅免費,而且更安全。更重要是讓Zoom看看,人家一個免費軟件是如何做加密的,Zoom好好學著點。
和其他視頻會議軟件一樣,Jitsi Meet用戶只需分享一段網址即可組織視頻會議。
但與Zoom不同的是,如果你僅知道這個網址,是無法侵入會議現場的,打開後也只能看到一片片“雪花”。
這是因為你沒有端到端的密鑰。參加會議的唯一方法是擁有端到端密鑰的特權。然後在網址之後加入一段密鑰,就能看見其他同事啦。
每個人密鑰都不相同,有幾個人參會就有幾組密鑰,視頻內容都是在本地完成加密和解密。
以上只是官方的一個演示,考慮到瀏覽器記錄可能會洩露你的密鑰,Jitsi下一步將考慮使用新的算法處理密鑰的交換和管理方式,進一步提高安全性。
Jitsi Meet不是什麼跟風之作,而且要說到歷史,Zoom也得叫前者一聲大哥。
Zoom公司是2011年才創立,而Jitsi Meet早在2003年就有了,最初還是斯特拉斯堡大學在讀博士生Emil Ivov的項目。
△ Emil Ivov
沒錯,這個斯特拉斯堡就是那個誕生“白色相簿”的地方,不知道袁徵看到了Emil Ivov,會不會問一句:“你為什麼這麼熟練啊?”
因為最近的疫情,加上Zoom不給力,Jitsi Meet開源項目又火了起來,短短几天之內GitHub上的活躍度大增。
真是Emil Ivov和一眾網友用熟練的技巧教袁徵如何做軟件。
不過,Zoom短時間能改完安全漏洞嗎?
看起來是難了。
但更難的是疫情之下把Zoom等視頻會議當剛需的企業和用戶。
現如今真是騎虎難下,Zoom有隱私安全問題,但流暢度、使用體驗和跨國遠程協作都很好,要“遷移”就得找個一樣的體驗、更好的安全的軟件。
