江苏龙网

  1. 首页 > 人文 > >

『黑客与极客』Zoom的“漏洞”围城,从新增用户1.9亿到股价下跌16%


_本文原题:Zoom的“漏洞”围城 , 从新增用户1.9亿到股价下跌16%
漏洞安全问题 , 终究是给Zoom上了一课 。
『黑客与极客』Zoom的“漏洞”围城,从新增用户1.9亿到股价下跌16%
本文插图
3个月 , 1.9亿用户 , 股价下跌16%
3个月新增1.9亿用户 。 在新冠疫情全球爆发之际 , 9岁的Zoom迎来了机会 。
根据公开数据 , 在创纪录的一周下载量中 , Zoom 的下载量是 2019 年第四季度美国每周平均下载量的 14 倍 。 远程办公的热潮中 , 发力云视频会议的Zoom真实地做到了“一口吃成一个胖子” , 意气风发莫过于此 。
如果没有后面的事 , 大抵Zoom会成为疫情期间最大的企业赢家 , 成为一桩商界美谈 。
可惜 , 没有如果 。
3 月 26 日 , Motherboard指出 , 在 iOS 系统下载或打开 Zoom App 时 , App内嵌的 Facebook SDK会向Facebook 传送用户的手机型号、时区、城市、运营商以及广告唯一标识符等信息 , 而 iOS 版本的 Zoom甚至没有在隐私条款中提前说明 , 就将用户数据共享给Facebook 。
随后 , Zoom承认了漏洞 。
3 月 28 日 ,SpaceX 发给员工的一封电子邮件中要求员工立即停止使用 Zoom 。 信中是这么说的:“我们知道 , 我们中的很多人正在使用这一工具进行会议 。 但请使用电子邮件、短信或者电话作为代替通信的手段 。 ”
3月30日 , 美国联邦调查局(FBI)波士顿办公室发布了关于 Zoom 的警告 , 提醒大家不要在 Zoom 进行公开会议或者广泛分享链接 , 甚至还谈到此前已经发生了多起身份不明的人入侵学校网络课程的事件 。
3 月 31 日 , Zoom 再次被曝漏洞 。 Windows版 Zoom App爆出容易受到 NUC 路径注入攻击 。 由于Zoom 的“公司目录”下会展示使用同一邮箱域名的同事姓名、头像和邮箱 , 导致如果用户用私人邮箱注册 , 可能会看到同样使用该邮箱域名的陌生人 , 而攻击者利用聊天模块的漏洞 , 能够窃取点击相关链接的用户的 Windows 登陆凭据 , 允许访问受害者的麦克风和摄像机 。
与此同时 , 美国航天局发言人斯蒂芬妮·希尔霍尔茨也表示 , NASA 也已经禁止员工使用Zoom。
数据泄露、安全隐患、漏洞频出……让Zoom的快速扩张受到了质疑声 。 而来自FBI、SpaceX、NASA的态度 , 让事态进一步恶化 。
受安全漏洞事件的影响 , 开盘前Zoom股价一度下跌16% 。 开盘约一小时后 , 股价下挫逾7% 。 CEO袁征(Eric Yuan)出面为漏洞事件道歉 。 Zoom宣布冻结新功能 。
3个月 , 大起大落 。 最后留下的是Zoom对公众的一概承诺:
立即冻结添加新功能;
立即转移所有工程资源以专注于最大的信任 , 安全和隐私问题;
与第三方专家和代表用户进行全面审查 , 以了解并确保Zoom所有新消费者使用案例的安全性;
准备透明度报告 , 详细说明与数据 , 记录或内容请求有关的信息;
增强当前的漏洞赏金计划;
进行一系列白盒渗透测试 , 以进一步发现和解决问题 。
漏洞事件带来的一系列多米诺骨牌效应 , 最终让Zoom囿于困境 。
安全漏洞对企业的影响
对于Zoom来说 , 这几乎是魔幻与现实并存的3个月 , 而将其从飞速扩张的美梦中叫醒的罪魁祸首就是“漏洞” 。
漏洞对于企业来说有多重要?成也漏洞 , 败也漏洞 。
成 , 企业在漏洞检测、挖掘、管理上形成体系 , 随时随刻地查“漏”补缺 , 不仅能够强化企业安全能力 , 保障业务的顺利开展 , 适当披露已修复的漏洞还能增强用户对企业的信任 。
败 , 可以参考Zoom , 或者更直接点 , 根据IBM的2019年数据泄露成本报告 , 美国数据泄露的平均成本为819万美元 。 公司平均需要206天才能识别出泄露 , 尝试解决这些问题则平均需要38天 , 漏洞给企业带来的是直观的高成本代价 , 同时 , 还有一系列信誉损失、业务难以维系、用户流失等问题 。


推荐阅读


上一篇:#布拉旅行#得知原因儿女捂脸,实在太丢人,老汉二婚后住进ICU

下一篇:腾讯科技:硅谷抗疫日报:亚马逊宣布停售N95口罩 谷歌开始放宽新冠广告