從在會議中播放色情內(nèi)容的“Zoom轟炸”,到偷偷向Facebook發(fā)送用戶數(shù)據(jù),視頻會議軟件Zoom的隱私丑聞還在繼續(xù)。
據(jù)多個外媒報道,安全研究員Patrick Jackson近日在亞馬遜云計算平臺(AWS)上發(fā)現(xiàn)了15000個公開的Zoom會議視頻,內(nèi)容包括醫(yī)療會議、商務(wù)會議、小學(xué)課堂等。
對此,Zoom解釋稱是會議發(fā)起人錄制下載視頻后再上傳到其他平臺。盡管上傳者是會議發(fā)起人,但Zoom的文件命名方式單一,也是這些視頻很容易被檢索到進而被泄露的原因之一。
會議視頻泄露 命名方式單一成漏洞
南都記者了解到,Zoom是目前占有美國最大市場份額的視頻會議軟件。它支持遠程視頻會議,并允許會議發(fā)起人進行會議錄制。
值得注意的是,會議發(fā)起人錄制視頻時,無需獲得參會者的同意,僅會向參會者發(fā)送錄制開始的提醒。這也導(dǎo)致Zoom會議視頻被公開后,很多當(dāng)事人看到自己的臉、聲音和個人信息感到很驚訝,因為他們當(dāng)時根本沒有意識到被錄下來了。
錄制完成后,會議發(fā)起人可以選擇把視頻存在本地或上傳Zoom服務(wù)器。不過,也有人會選擇再把視頻上傳到AWS這種第三方云平臺上,且不設(shè)置密碼。
據(jù)《華盛頓郵報》報道,Jackson通過“一個簡單的在線搜索”,就找到了15000個完全公開的Zoom會議視頻。
“很多視頻都被保存在單獨的、沒有密碼的線上存儲空間里”,他說,因為Zoom對視頻的命名非常單一,所以他很容易地找到了大量視頻,而且任何人都能下載觀看。
不過,《華盛頓郵報》并沒有公開Zoom對會議視頻的命名方式。據(jù)報道,還有數(shù)千個視頻被上傳到了YouTube、Vimeo等視頻網(wǎng)站,內(nèi)容包括含有公司財務(wù)報表、員工姓名電話的企業(yè)會議,甚至還有私人親密對話。
多名專家表示,盡管上傳者需要為Zoom視頻泄露負責(zé),但此次事件中,Zoom對視頻文件的命名方式單一也暴露了其用戶隱私保護機制存在的漏洞。
Zoom隱私丑聞頻發(fā) 遭NASA禁用
針對此事,Zoom回應(yīng)稱,當(dāng)會議發(fā)起人選擇錄制會議時,Zoom會通知參會者,并提供一種安全可靠的方式來存儲錄制內(nèi)容。“如果之后需要上傳到其他平臺,我們會敦促他們格外謹慎,告知參會者,并仔細考慮是否包含敏感信息,是否符合參與者的合理期望。”
南都記者了解到,此前Zoom在個人隱私保護方面就遭受過不少質(zhì)疑。
去年七月,Zoom曾被曝任意網(wǎng)站都可以在不申請授權(quán)的情況下觸發(fā)蘋果電腦開啟攝像頭;今年以來,又連續(xù)被發(fā)現(xiàn)可能被黑客監(jiān)聽通話、會議發(fā)起人可以監(jiān)控參會者的Zoom窗口是否打開等漏洞。
最近一次,科技媒體《Motherboard》稱,在iOS系統(tǒng)下載或打開Zoom App時,App會向Facebook發(fā)送用戶數(shù)據(jù)。接著,Zoom又被曝出錯誤地聲稱App能夠做到“端到端加密”。
面對Zoom層出不窮的隱私問題,截至目前,馬斯克旗下的SpaceX公司與其最大的客戶之一——美國太空總署(NASA)都已禁用Zoom,包括紐約在內(nèi)的多個學(xué)校也不再使用Zoom上網(wǎng)課。據(jù)悉,臺灣也已經(jīng)禁止政府機構(gòu)使用Zoom。
在4月1日的一封公開信中,Zoom CEO袁征公開致歉。他提到,盡管公司“整日不間斷工作”以支持涌入的新用戶,但“仍未達到對用戶們(以及我們自己)對隱私和安全性的期望”。
他表示,Zoom在即日起90天內(nèi)將暫停功能開發(fā),以便工程師專注于安全性和隱私保護方面的技術(shù)改進。期間,還將進行第三方安全審核和滲透測試,擴大賞金計劃,并針對政府和執(zhí)法機構(gòu)的要求撰寫透明度報告。
