Zoom再被揭安全風險 逾300個帳戶資料於暗網有售 傳渣打因網絡安全禁用

Zoom再被揭安全風險 逾300個帳戶資料於暗網有售 傳渣打因網絡安全禁用

視像會議軟件Zoom的需求新冠肺炎疫情下迅速爆紅,3月份用戶數量更達2億人。同時引起安全漏洞爭議,雖然Zoom創辦人兼行政總裁袁征公開致歉,並承諾會進行改善。今日渣打因網絡安全禁員工使用ZOOM;台灣政府機構、英國國防部、SpaceX及NASA亦禁止員工使用,避免機密資料外洩。近日,更有外媒踢爆Zoom用戶資料於暗網(Deep Web)被出售。

撰文:經一編輯部 | 圖片:Zoom、網上圖片

渣打傳因網絡安全禁員工用ZOOM

根據路透引述渣打內部備忘錄報道指,行政總裁溫拓思(Bill Winters)要求員工在疫症期間,基於網絡安全問題,不要使用Zoom及Google Hangouts進行視像會議。據業內專家表示,上述兩種服務都無法提供像思科的Webex或Microsoft Teams一樣提供加密保護。

渣打發言人拒絕置評,惟強調網絡安全為首要考慮,員工應使用多種授權的工具進行語音或視頻會議。而報道引述兩名渣打員工透露,集團目前大多使用Blue Jeans平台進行視像會議。

台灣教育部禁止學校使用 Zoom

台灣行政院4月7日發出通函,禁止政府機構使用有安全疑慮的產品,包括Zoom,要求政府機構需優先使用台灣產品或已獲認證的產品。教育部昨晚發新聞稿指出,要求各級學校等「不應使用」ZOOM等具資通安全疑慮的產品。

另外,台灣教育部亦已通知各級學校全面禁用Zoom,取代軟體包括CyberLink U Meeting、Microsoft Teams、 Cisco WebEx、Adobe Connect、Google Hangouts Meet及開源的Jitsi Meet。

Zoom爆安全漏洞|台灣政府機構、學校禁用Zoom 部分數據曾分流中國

Zoom帳戶資料於暗網(Deep Web)有售

外媒今日再揭發,有352個Zoom帳號資料,正於暗網(Deep Web)遭盜賣。科技網站《Mashable》報道,以色列網路安全機構Sixgill發現,有352個Zoom帳號資料,正於暗網上轉售,包括帳號持有者的電子郵件地址、密碼、會議ID及主機密鑰、名稱等,而且不同的帳號類型皆備,除個人用戶外,亦涉及付費用戶、企業或組織用戶等。

Zoom爆安全漏洞|台灣政府機構及學校禁用 被揭Zoom帳戶資料於暗網售賣
由Sixgill安全研究負責人Dov Lerner提供的暗網討論區截圖可見,許多網友都留言「感謝」版主盜取這些資訊,更有人揚言要入侵會議惡搞。(圖片:Sixgill)

一旦黑客利用資料,來誘騙帳戶持有人或發送虛假的線上會議連結,便能竊聽企業或個人的機密會議內容,甚至盜用身份。

Zoom曾被發現不少私隱問題及安全紀錄

過去,Zoom曾被發現不少私隱問題及安全紀錄,例如會議管理員被指權力過大,可以看到參與者的IP地址、位置數據、裝置資訊等,又可以監察他們是否專心在會議上。而公司的iOS的應用程式會在用家未獲知會下將分析數據傳給Facebook,包括沒有Facebook帳戶的用家。

除此之外,還有「Zoombombing」;即有其他Zoom使用者騎劫設定為公開的會議,不請自來,突然使用Zoom軟件用屏幕向你分享色情圖片或冒犯性內容。

據美國媒體報道,當用戶進入Zoom會議房間,Zoom就會自動將他們的名字及電郵與LinkedIn資料進行配對。而英國媒體泰晤士報記者上周進行測試,利用虛構名稱登陸Zoom平台,結果數據挖掘工具仍能瞬間將帳號與其真實LinkedIn資料進行配對;訂閱了LinkedIn銷售服務「LinkedIn Sales Navigator」的用戶能透過Zoom,獲得其他用戶資料。

Zoom 4月5日起必須透過密碼進入會議

Zoom團隊於4月3日向用戶發電郵宣布,由4月5日開始優化功能。免費Free Basic用戶及第一層付費Single Pro用戶的帳戶,將被預設為與會者必須透過密碼進入會議,以及預設開啟「啟用等候室」(Virtual Waiting Rooms)。換言之,用家不能再一按連結就進人會議室,必須輸入密碼,而會議主持人亦要手動批准與會者進入會議室。

私隱專員公署籲市民注意Zoom資料保安

香港個人資料私隱專員公署4月1日亦發出公告,提醒市民注意使用Zoom的私隱問題,並建議用家要把手機應用程式更新到最新版本、以專為Zoom而建立的帳戶登入,盡量避免使用現有的其他帳戶作登入、為會議設置密碼、密切注意帳戶任何異常活動、及保留所造成的任何損失紀錄,以便將來有需要跟進時有紀錄可循。

Zoom安全漏洞再擴大創辦人致歉 Zoom推新措拖改善私隱問題 LinkedIn用戶都受牽連
私隱專員公署表示,從傳媒報道得悉Zoom曾將使用iOS手機應用程式用戶的資料,轉移至Facebook,Zoom已回應稱,客戶的私隱至關重要,並已更新iOS手機應用程式,取消了相關的轉移功能。

Zoom之外的其他選擇

1.U 會議

最多可同時與25人進行視訊會議。為響應防疫即日起至31/5止,每次單場免費會議時間提升至60分鐘(原本限制為30分鐘)。支援 Windows、 Mac、iOS 同 Android 行動裝置,下載安裝「U 會議」App 開設視訊會議;另還可提供免安裝下載,使用Chrome瀏覽器開設行動會議室的功能,讓所有參與者在不同裝置、不同地點,只要打開會議連結網頁,就能加入。

Zoom爆安全漏洞|台灣政府機構及學校禁用 Zoom曾把部分數據分流中國
U 會議

2. Microsoft Teams

Microsoft 香港將支援本地學校免費安裝和使用 Microsoft 的協作工具,幫助教師進行實時授課,學生亦可像在課室上課一樣,進行互動。透過Office 365 教育版中的 Microsoft Teams協作平台,老師每次可與最多 250 人連線進行會議。教師亦可錄下課堂內容,並將影片與其他教材及家課集合在平台上,讓學生可於自己合適的時間重溫。

  • 會議長度無限制、可以共享螢幕、不可以分割畫面
  • 人數:250人
  • 費用:收費;本地學校免費安裝
Zoom爆安全漏洞|台灣政府機構及學校禁用 Zoom曾把部分數據分流中國
Microsoft 香港將支援本地學校免費安裝和使用 Microsoft 的協作工具

3. Google Hangouts Meet

只要有Google帳戶就能使用Hangouts,用戶毋須下載及安裝軟件,便能進行視像會議。Google Hangouts可以與Google Classroom、Google Drive、Gmail、Google Doc等服務完全整合,為一個完整的雲端系統。傳統版Chat的會議可容納最多25人,收費的G Suite版本可容納100至250人。

  • 會議長度無限制、可以共享螢幕、不可以分割畫面
  • 費用:傳統版免費;G Suite版本收費
Zoom爆安全漏洞|台灣政府機構及學校禁用 Zoom曾把部分數據分流中國
Google Hangouts Meet

4. Cisco WebEx

WebEx提供的服務相對較完整,可供用戶共享螢幕、分割畫面,亦有提供綫上白板。聊天室提供搜尋功能,可以在眾多話句中找回重要的內容。會議在高解析度品質下可容納500人。

  • 會議長度無限制、可以共享螢幕、可以分割畫面
  • 人數:500人
  • 費用:免費
Zoom爆安全漏洞|台灣政府機構及學校禁用 Zoom曾把部分數據分流中國
Cisco WebEx

5. TeamViewer

為人熟悉的遠端電腦遙控神器TeamViewer中,亦有功能如線上協同作業、參加會議、與個人或群組聊天。用戶只需使用TeamViewer內置「我的會議」功能,便可管理已安排好的會議。其訂閱計劃中,每場會議的參與者最多可達到25位。

 

Zoom 創辦人袁征 發公開聲明致歉

視像會議平台Zoom爭議風波不斷,多次被外媒踢爆存在安全漏洞,或會洩漏用戶個人資訊。Zoom創辦人兼行政總裁袁征4月2日向用戶發表聲明,坦承自己未有妥善處理「不可預見的問題」,並表示歉意,承諾Zoom團隊會進行改善。袁征亦指,Zoom已將解決安全私隱漏洞列為首要任務,在接下來的90天內,不會推出新功能,專注修補漏洞。同時,他們將邀請第三方專家及用戶進行全面調查,確保Zoom使用者的安全。另外,亦會公開調查報告,內容包括:收集了甚麼數據、紀錄或內容請求等,以增強透明度。

基於私隱安全憂慮NASA、SpaceX禁用Zoom

目前美國太空總署(NASA)、科技狂人Elon Musk旗下太空公司SpaceX、及英國國防部等部門已宣布禁止員工使用,並提醒員工盡量使用電子郵件、簡訊、或者電話來進行溝通,避免使用Zoom作為會議工具。香港個人資料私隱專員及香港電腦保安事故協調中心,日前亦分別提醒香港用戶小心使用。

英國國防部:從沒有以Zoom進行高層安全會議

早前,英國首相約翰遜透過Zoom舉行有關如何保持社交距離的會議,據報道指,英國首相約翰遜(Boris Johnson) 原計劃本周再舉行網上內閣會議,但最終被國防部駁回。報道引述國防部員工指,當本週被告知經過安全隱患調查後,要求暫時停止使用Zoom,並提醒在特殊時期需要更謹慎對待網絡威脅。

Zoom安全漏洞再擴大創辦人致歉 Zoom推新措拖改善私隱問題 LinkedIn用戶都受牽連
英國首相約翰遜也在Twitter上發圖,顯示他通過Zoom軟件主持內閣會議的情形。

其後,英國國防部對英國廣播公司(BBC)表示,國防部從來沒有使用過Zoom進行高層安全會議,Zoom只是政府各部門之間的對話工具而已。之後,內閣辦公室發言人又出來澄清政府立場:「在目前特殊情況下,維持有效溝通渠道非常重要,國家網絡安全中心的指導原則顯示,使用Zoom進行一般非保密性的對話沒有問題。」

Zoom背景

Zoom在2011年由從中國移民至美國的矽谷軟件工程師袁征創辦,公司去年上市,市值達160億美元,現在漲升至超過385億,相當於3100多億港元。袁徵是中國軟件工程師,移民到美國並在2011年創辦Zoom遠程會議軟件公司。因為Zoom簡單易用,逐漸超越對手Skype和Microsoft Teams。Zoom優勝之處在於,它能免費容納100人同時開會,又能切換會議背景的功能,有實際用途之餘亦富娛樂性。它還有不少個人化工具,例如共享屏幕,錄影和舉行加密私人會議等。

Zoom安全漏洞再擴大創辦人致歉 Zoom推新措拖改善私隱問題 LinkedIn用戶都受牽連