先跟大家說一下Zoom。
這是他們家的APP。對,它是一家專門做視頻會議服務的公司。創始人兼CEO是一位中國的移民-袁徵(Eric Yuan)。他們的主要用戶在美國。
最近加拿大有家叫Citizen Lab的網站,發佈了一篇文章。
大致的內容說的是Zoom的通信不是點對點的。他們發現在一個美國用戶和一個加拿大用戶的視頻通話中,會議加密和解密的密匙是從北京的Zoom服務器發出的。
而Zoom在中國註冊了3家公司,有至少700名開發人員。
他們猜測,Zoom公司可能有法律義務向中國有關部門提供秘鑰。他們的會議內容會被洩露。
所以這又是一個和華為、大疆、Tiktok一樣的劇本?是西方邪惡勢力在打壓有中國血統的企業?
我們來看看這個事件的始末。
受新型冠狀病毒疫情影響,感染的人數飆升,美國人民從一開始的“這有啥?小問題!” 到 “臥槽,這麼嚴重!”,開始隔離。
他們開始和我們一樣,學校上網課,公司開視頻會議。(對了,還有云趴體
)就這樣,Zoom的日活用戶由去年12月份的1000萬翻了20倍,到了2億。然後股票暴漲超過70%,市值也從2019年4月上市時的92億美元增長到320多億美元。
樹變大了就招風,Zoom受到的關注也更多了。
3 月 26 日,Motherboard指出,在 iOS 系統下載或打開 Zoom App 時,App內嵌的 Facebook SDK會向Facebook 傳送用戶的手機型號、時區、城市、運營商以及廣告唯一標識符等信息,而 iOS 版本的 Zoom甚至沒有在隱私條款中提前說明,就將用戶數據共享給Facebook。
隨後,Zoom承認了漏洞。
3月30日,美國聯邦調查局(FBI)波士頓辦公室發佈了關於 Zoom 的警告,提醒大家不要在 Zoom 進行公開會議或者廣泛分享鏈接,甚至還談到此前已經發生了多起身份不明的人入侵學校網絡課程的事件。
4月3日華盛頓郵報又報道出Zoom存在的重大安全漏洞:數以萬計的私人Zoom視頻被上傳至公開網頁,任何人都可在線圍觀!
向華盛頓郵報爆料的是美國國家安全局的前研究員帕特里克·傑克遜(Patrick Jackson),他爆料稱在開放的雲存儲空間中一次性搜到了15000個Zoom視頻。
大家請注意,這些漏洞是實實在在存在的。並不是無中生有,暗度陳倉,憑空想象,憑空捏造。
拿最近的這次錄屏文件被上傳至公開網頁來說。
洩露的視頻中包括:一對一的治療課程;遠程健康培訓,其中還有人名和電話號碼信息;涉及到私人公司財務報表的小型企業會議;小學生的網課裡學生的臉、聲音和樣貌細節都很清楚。
許多視頻包括個人身份信息和在人們家中錄製的親密對話。甚至有美容師傳授脫毛的裸露視頻。
這些視頻是在進行視頻會議過程中通過Zoom錄製的,並在沒有密碼的情況下保存到單獨的雲存儲空間。
那麼這個漏洞是啥?
說出來可能會讓人哭笑不得。
錄製視頻的時候Zoom默認以相同的方式給每個視頻命名。
Patrick Jackson是通過一個免費的可以搜索到雲存儲空間資源的搜索引擎找到這些視頻的。使用Zoom的默認命名規則搜索記錄時,顯示了15000多個結果。
如果就是洩露了幾個,那可能是用戶的安全意識比較差。但是一下就能搜出這麼多,明顯就是軟件的設計缺陷了。
所以,到底是不是西方邪惡勢力在打壓具有中國血統的公司呢?
我們可以看到,除了開頭的Citizen Lab發表的文章裡有提到Zoom把信息洩露給中國,另外那些爆出來的漏洞都是基於Zoom本身的業務,而且確確實實存在了安全隱患。
不管你是中國的還是美國的公司,涉及用戶隱私洩露的問題就是要命的大問題!
2018年3月,Facebook爆出重大丑聞,5000萬用戶隱私洩露。得到的結果是股票應聲暴跌7%,市值瞬間蒸發300多億美金。
這個世界有很多陰謀論者,他們見不得我們好。但只要我們自身沒有問題,並且是真的優秀,時間會給出真相。
同樣這個世界也有很多其他的不同聲音,有發現我們自身不足問題的。我們是否能把情緒拋開,理性看待呢?如果他們說的問題確實存在。那麼這何嘗不是幫助我們變得更好的力量呢?
Zoom的這些漏洞一直都是存在的,只不過用戶量暴增以後受到的關注也變高了,這些漏洞才被發現。
打個不太恰當的比方,就好比是一個基礎不太紮實的建築設計者突然間被予以重任要去造一棟好看的大房子。結果造了一半被發現這個建築結構有缺陷,而且不止一處,這些缺陷可能導致的結果是稍微碰到點等級低的地震就有可能倒塌。
但幸運的是這個設計者承認了被指出的這些缺陷確實存在,並表示要把這些缺陷改進。
所以Zoom發公告表示將停止所有新功能的開發,並將全部工程資源用於解決最近的安全漏洞問題。
袁徵甚至表示,如果不能把Zoom變成世界上最安全的平臺,在接下來的幾年裡,他會考慮開源Zoom的代碼,讓更牛逼的人們把系統做到足夠安全。
這才是一個做技術的人應有的態度!而不是玻璃心的稍微有一些不好聽的言論就覺得委屈,覺得那些陰謀論的人又來搞我。菜就是菜!我拼勁全力讓自己變成大神。
我們可以看看另外一家企業。
(利益相關:本人不是花粉)
華為在去年8月份推出了鴻蒙系統之後便懸賞最高20萬歐元,摺合人民幣150多萬,獎勵發現其系統漏洞或者破解設備的人或團隊。並且是每個最高級別的漏洞20萬歐元,基於漏洞個數獎金沒有上限!
這恰恰說明了華為對安全的重視。想要通過這種方式發現系統安全隱患,防止後期出現安全事故。
另一部分原因可能也是出於自信吧。
“你儘管來找,找到算你牛逼!”
-- END --
