Zoom�,現在是風口浪尖上的企業(yè)了。
疫情一來��,用戶數和股價齊飛����,但問題也出現的不要太頻繁。
一方面進入隱私泄露危機�����,一方面又因為有中國的公司和服務器而被質疑。
但�,使用Zoom的用戶們似乎更慘。昨夜�����,有媒體曝出53萬Zoom賬號密碼被公開在暗網叫賣����,而且價格特別便宜���,1個賬號只賣0.002美分�,總共才10美元左右����。
換算成人民幣,差不多一個賬號0.00014元�,1分錢能買71個。
要知道��,開Zoom會員����,一個賬號一個月就要19.99美元(140元人民幣)?��。∽⒁膺@個價格不是年費�����,是月費��,比視頻網站外賣網站貴好多好多倍�����。
而且�����,這些被公開出售的賬號��,還有不少是來自花旗銀行�、佛羅里達大學等知名機構的。
可是���,Zoom的股價在被曝出消息后還大漲了�。
真是難為這些用戶了���,不好用����,還沒得選。
撞庫獲得53萬賬戶密碼
用戶賬號密碼泄露的消息�����,來自網絡安全公司Cyble�����。這家公司日常一直在監(jiān)控暗網���,好發(fā)現有沒有自己的客戶信息泄露或者被盜號。
這次�,Cyble發(fā)現,在黑客網站上���,有人開始賣Zoom賬號了���,總數53萬個。
除了用來賣的部分���,黑客還挑出了290個“試用裝”免費發(fā)布���,這些賬號來自佛蒙特大學����、科羅拉多大學��、佛羅里達大學等多所高校��。
△“試用裝”賬戶
美國媒體BleepingComputer聯系了部分被免費曝光的用戶����,發(fā)現其中不少數據都是正確的,而有一位用戶說�����,這個密碼是他之前用的舊密碼�����。
這也就意味著����,來源是——撞庫���。
直白來說,就是在之前的各種賬號密碼泄露的事件中�,黑客自己收集了一批賬號密碼,然后挨個在Zoom上試�����,把試成功的賬號密碼單獨拉個表格拎出來賣�。
這就非常尷尬了,53萬賬戶����,黑客肯定不會手動去一個一個復制粘貼登錄,這個過程一定是自動進行的����,但被撞庫成功��,意味著Zoom可能沒有做足充分的保護措施�����。
Cyble買了這53萬個賬戶���,用來給自己的用戶發(fā)賬戶泄露風險的提示��。
購買的價格是每個0.002美分���,總共花費才10.6美元�,74塊人民幣�。
價格不貴,估計也掙不了幾個錢��,Cyble說黑客把這些掛出來�,主要是為了裝嗶——顯得自己很厲害的樣子。
他們發(fā)現�����,每個賬戶被泄露的信息包括郵箱�����、密碼��、個人url地址�,還有HostKey——就是作為會議主持人管理會議的6位數PIN碼。
而且,從域名來看���,這些用戶包括摩根大通的子公司大通銀行��、花旗銀行�����,還有一些教育機構等等知名公司或機構�����。
銀行的賬戶被泄露�,那可不知道會有多少秘密流出�。
所以都這樣了,Zoom知道了嗎����?怎么說?
Zoom:我們一定改�,但是得交錢
不僅密碼被盜用����,Zoom的服務器地址也被詬病。
多倫多大學之前就發(fā)現,使用Zoom的幾個人明明都在北美�,但是會議數據卻要通過中國服務器。
還有會議的密鑰是在中國的服務器上生成的����。
想象一下,如果是中國人在國內開會�����,但是數據全都經過美國��,密鑰也在美國生成�����,難免不讓人懷疑啊���,所以用戶當然不干了��。
在外界的質疑聲中����,Zoom只好加入給用戶選擇任意選擇服務器的功能�,前提是付費,免費用戶仍然沒有選擇的權利。
至于為何要用中國服務器����,Zoom CEO袁征也公開解釋,因為新冠疫情�����,導致用戶數量激增��,去年12月每日用戶才1000萬���,今年3月已經增長到2億�����,需要大量增加服務器�����。
所以Zoom才不得不去選擇中國的服務器����,因為沒有考慮到地理因素���,某些會議可能會被鏈接到中國的服務器上�����。
但這種解決問題的進度��,現在網友們可等不了�����。
都已經在給Zoom提供“抄作業(yè)”參考了���。
網友:抄下開源軟件的作業(yè)吧
既然想用高級功能還要加錢,那就只能讓部分用戶叛逃了�。Zoom不安全又不免費,那就找個更安全的免費軟件替代它吧���。
國外飽受Zoom折磨的網友推薦使用開源軟件Jitsi Meet�,不僅免費�����,而且更安全��。更重要是讓Zoom看看,人家一個免費軟件是如何做加密的�����,Zoom好好學著點����。
和其他視頻會議軟件一樣,Jitsi Meet用戶只需分享一段網址即可組織視頻會議��。
但與Zoom不同的是����,如果你僅知道這個網址,是無法侵入會議現場的��,打開后也只能看到一片片“雪花”�。
這是因為你沒有端到端的密鑰。參加會議的唯一方法是擁有端到端密鑰的特權�。然后在網址之后加入一段密鑰,就能看見其他同事啦�。
每個人密鑰都不相同,有幾個人參會就有幾組密鑰�����,視頻內容都是在本地完成加密和解密。
以上只是官方的一個演示�,考慮到瀏覽器記錄可能會泄露你的密鑰,Jitsi下一步將考慮使用新的算法處理密鑰的交換和管理方式�,進一步提高安全性�。
Jitsi Meet不是什么跟風之作,而且要說到歷史�����,Zoom也得叫前者一聲大哥����。
Zoom公司是2011年才創(chuàng)立,而Jitsi Meet早在2003年就有了�,最初還是斯特拉斯堡大學在讀博士生Emil Ivov的項目。
△Emil Ivov
沒錯�����,這個斯特拉斯堡就是那個誕生“白色相簿”的地方��,不知道袁征看到了Emil Ivov���,會不會問一句:“你為什么這么熟練?。俊?/p>
因為最近的疫情�,加上Zoom不給力,Jitsi Meet開源項目又火了起來�����,短短幾天之內GitHub上的活躍度大增����。
真是Emil Ivov和一眾網友用熟練的技巧教袁征如何做軟件。
求助一則
不過��,Zoom短時間能改完安全漏洞嗎����?
看起來是難了。
但更難的是疫情之下把Zoom等視頻會議當剛需的企業(yè)和用戶�。
比如我們量子位,編輯部就離不開Zoom���,但現在每天目見耳聞這樣的隱私安全漏洞�����,又怎能安心�����?
現如今真是騎虎難下�,Zoom有隱私安全問題,但流暢度���、使用體驗和跨國遠程協作都很好,要“遷移”就得找個一樣的體驗�����、更好的安全的軟件��。
那么���,你(或者貴司)用的是哪款軟件呢���,在評論區(qū)告訴我們吧~
