从在会议中播放色情内容的“Zoom轰炸”,到偷偷向Facebook发送用户数据,视频会议软件Zoom的隐私丑闻还在继续。
据多个外媒报道,安全研究员Patrick Jackson近日在亚马逊云计算平台(AWS)上发现了15000个公开的Zoom会议视频,内容包括医疗会议、商务会议、小学课堂等。
对此,Zoom解释称是会议发起人录制下载视频后再上传到其他平台。尽管上传者是会议发起人,但Zoom的文件命名方式单一,也是这些视频很容易被检索到进而被泄露的原因之一。
会议视频泄露 命名方式单一成漏洞
南都记者了解到,Zoom是目前占有美国最大市场份额的视频会议软件。它支持远程视频会议,并允许会议发起人进行会议录制。
值得注意的是,会议发起人录制视频时,无需获得参会者的同意,仅会向参会者发送录制开始的提醒。这也导致Zoom会议视频被公开后,很多当事人看到自己的脸、声音和个人信息感到很惊讶,因为他们当时根本没有意识到被录下来了。
录制完成后,会议发起人可以选择把视频存在本地或上传Zoom服务器。不过,也有人会选择再把视频上传到AWS这种第三方云平台上,且不设置密码。
据《华盛顿邮报》报道,Jackson通过“一个简单的在线搜索”,就找到了15000个完全公开的Zoom会议视频。
“很多视频都被保存在单独的、没有密码的线上存储空间里”,他说,因为Zoom对视频的命名非常单一,所以他很容易地找到了大量视频,而且任何人都能下载观看。
不过,《华盛顿邮报》并没有公开Zoom对会议视频的命名方式。据报道,还有数千个视频被上传到了YouTube、Vimeo等视频网站,内容包括含有公司财务报表、员工姓名电话的企业会议,甚至还有私人亲密对话。
多名专家表示,尽管上传者需要为Zoom视频泄露负责,但此次事件中,Zoom对视频文件的命名方式单一也暴露了其用户隐私保护机制存在的漏洞。
Zoom隐私丑闻频发 遭NASA禁用
针对此事,Zoom回应称,当会议发起人选择录制会议时,Zoom会通知参会者,并提供一种安全可靠的方式来存储录制内容。“如果之后需要上传到其他平台,我们会敦促他们格外谨慎,告知参会者,并仔细考虑是否包含敏感信息,是否符合参与者的合理期望。”
南都记者了解到,此前Zoom在个人隐私保护方面就遭受过不少质疑。
去年七月,Zoom曾被曝任意网站都可以在不申请授权的情况下触发苹果电脑开启摄像头;今年以来,又连续被发现可能被黑客监听通话、会议发起人可以监控参会者的Zoom窗口是否打开等漏洞。
最近一次,科技媒体《Motherboard》称,在iOS系统下载或打开Zoom App时,App会向Facebook发送用户数据。接着,Zoom又被曝出错误地声称App能够做到“端到端加密”。
面对Zoom层出不穷的隐私问题,截至目前,马斯克旗下的SpaceX公司与其最大的客户之一——美国太空总署(NASA)都已禁用Zoom,包括纽约在内的多个学校也不再使用Zoom上网课。据悉,台湾也已经禁止政府机构使用Zoom。
在4月1日的一封公开信中,Zoom CEO袁征公开致歉。他提到,尽管公司“整日不间断工作”以支持涌入的新用户,但“仍未达到对用户们(以及我们自己)对隐私和安全性的期望”。
他表示,Zoom在即日起90天内将暂停功能开发,以便工程师专注于安全性和隐私保护方面的技术改进。期间,还将进行第三方安全审核和渗透测试,扩大赏金计划,并针对政府和执法机构的要求撰写透明度报告。