352名Zoom用戶資料在暗網遭盜賣 Google禁員工使用

防疫在家上班潮興起,遠端線會議的Zoom成爲近期寵兒,但是持續爆發資安問題,引發疑慮。(Zoom提供/黃慧雯臺北傳真)

新冠肺炎(COVID-19)衝擊而衍生的在家工作遠距教學潮流,帶動了包含 Zoom、Microsoft Team、Google Hangout Meets 等視訊會議工具的興起。然而其中的 Zoom 近期陸續爆發嚴重資安問題,讓用戶對它的好感驟降,成爲近期熱議焦點外媒報導發現竟然有超過 3 百名 Zoom 用戶的資料暗網(Dark web)被盜賣,令人對於它的安全性更感憂心。

《Mashable》報導,網路安全機構 Sixgill 的分析師 Dov Lerner 發現,有 352 名 Zoom 用戶的帳號資料遭到盜取,並且在暗網(無法被一般搜尋引擎索引,只能使用特殊軟體、特殊授權才能存取的網路)被轉賣,當中包含了電子郵件信箱以及帳號密碼、會議ID、還有主辦人姓名等資料。其中,被盜賣的 Zoom 用戶資料還被分級,包含付費購買企業版或商用版的種類,顯示這些帳號具有更高的價值。

分析師 Dov Lerner 指出,這些遭到盜賣的 Zoom 用戶資料,主要都是個人用戶,大多來自使用 Zoom 來進行線上教學與視訊會議的教育機構以及小型公司團體;其中,他還發現有一名用戶是美國主要醫療保健用品供應商

Zoom 是以主打視訊會議功能起家服務,提供免費版單次會議時間 40 分鐘、企業版則沒有限制時間的服務。疫情期間,Zoom 還將免費版同時會議人數上限從 10 人調升爲 100 人,因此當在家工作、遠距教學潮興起時,成爲不少機構與個人的選項之一。不過卻持續爆發資安疑慮,包含美國聯邦調查局(FBI)提醒,Zoom 因爲爆紅已經成爲網路犯罪者的最新目標;前國家安全局(NSA)員工、兼網路安全研究者Patrick Wardle則是發現 Zoom 的 Mac 版本存在一個漏洞,會讓電腦攝影鏡頭以及麥克風更容易被駭客入侵。此外還包含 Zoom iOS版使用了 Facebook 軟體開發套件(SDK)而會向 Facebook 傳送許多非必要資訊(設備熒幕尺寸、系統版本等等)資料(此問題已修復),資安問題不斷。

因此,行政院也在 4 月 7 日通函各公務機關及特定非公務機關,若因業務需求必須召開遠端視訊會議,不應使用具資通安全疑慮的產品,例如ZOOM。後續也要求各級學校不要用ZOOM來進行遠距教學。中華電信也宣佈停售 Zoom 相關產品。

此外,繼先前美國太空總署(NASA)以及太空探索技術公司(SpaceX)紛紛宣佈禁止員工使用 Zoom 之後,《Business Insider》也報導,Google 也因爲 Zoom 的資安疑慮,禁止員工使用 Zoom。

針對 Zoom 所爆發的一連串資安問題,Zoom CEO 袁徵(Eric Yuan)在稍早之前進行的 YouTube 直播中,也直接向公衆道歉,並且直接回答網路問題長達兩個多小時。針對產品所包含的資安疑慮,Zoom 已經透過官方部落格宣佈,未來 90 天內將會暫停更新產品,專注於修復資安相關問題,並且將針對如何避免「zoombombing」(未經邀請的使用者突然加入視訊會議、且發表色情內容或種族歧視言論的新興問題)提出解決方法。