從Zoom連環爆雷聊聊會議軟件的安全水位

日博体育发布于 |  2020-04-11 21:37 |  浏览:76

在Pomerantz律師事務所發起的、針對Zoom的集體訴訟中,就以此為核心打擊點,直指Zoom缺少足夠的數據隱私和安全措施,該公司的視頻通信服務沒有端到端加密,就公司的業務、運營和合規政策做出了重大虛假和誤導性的陳述。

顯然,可以訪問用戶音頻和視頻內容的Zoom,在事實層面都使用了更容易被修改和攻擊的技術。Zoom公司的首席財務官斯塔伯格就曾直接表示,面對突如其來的“流量高峰”,高管們也沒有考慮因為使用量激增而引入新的技術。

另外則是對用戶的權益告知不到位,如果有用戶通過Facebook等社交網站登錄Zoom,那么很可能無意間將空間改成公開訪問,自己的YouTube上也能找到Zoom視頻。據《華盛頓郵報》的報道,他們據此看到的視頻有小公司的財務會議,日博体育小學生的網課,甚至家庭內部的私密談話等等。

前Facebook安全主管、現任斯坦福互聯網天文臺(StanfordInternetObservatory)負責人AlexStamos表示,Zoom的問題包括從愚蠢的設計到嚴重的產品安全缺陷。而在事件頻繁發生后,Zoom也緊急應對,比如停止更新,專注于隱私和安全問題;改變了學校的默認設置,只允許教師共享他們的屏幕等等。

當然,這種西方媒體炸裂式的口誅筆伐,也與Zoom的中國背景不無關系。一方面,相較于同業務競爭對手Avaya、思科和微軟等企業,Zoom的成本優勢源于開發人員都位于中國,數據流“會經過位于中國的服務器”,也成為英國廣播公司等媒體十分敏感的話題。

公有云、私有云、混合云等多種服務的出現,讓互聯網企業會面對不一樣的資源管理、不一致的安全策略、不同的底層架構、不同的安全工具,由此也必然造成數據隱私、運維人員短缺等問題,因此越來越多的云服務商傾向于以統一、全面覆蓋的方式來進行安全設計,將網絡的安全水位提升到云原生級別。

比如通過AI對漏洞進行優先級排序,不斷進行安全巡檢和漏洞評估,及時監視攻擊活動。使用NLP技術整合威脅情報的整合,網絡上下文分析漏洞的暴露面,并優先修復風險最大的漏洞,想必Zoom事件不至于發酵到今天這種境況。