【Zoom 資安風暴】台灣用戶資料歸何處? 回覆 INSIDE 十問

針對使用 Zoom 的疑慮,INSIDE 親自向 Zoom 訪談,探詢包含資安計劃進度、受質疑的公司背景、用戶資安等問題,讓讀者們能參考及評估採取個人隱私保護策略。
評論
Photo Credit:Shutterstock
評論

相信讀者們對於近日爆出的視訊軟體風暴感到措手不及,相關政府單位因使用受到質疑,也逐一下令禁用,課堂、會議等必須轉往其他視訊軟體服務。不過我們也發現,在許多私人情境下,仍有不少用戶考量過去使用習慣以及 Zoom 功能與方便性而持續使用,使用者究竟該如何自保?

針對 Zoom 所有疑慮的部分,INSIDE 親自向 Zoom 訪談,向他們探詢包含資安計劃進度、受質疑的公司背景、用戶資安等問題,讓讀者們能參考及評估採取個人隱私保護策略。

本次受訪對象為 Zoom 國際負責人 Abe Smith,先前在甲骨文和思科等企業雲端服務公司任職。 擁有將近 20 年的軟體及服務(SaaS)產業經驗,先前在 WebEX 擔任超過 8 年領導職務,負責在全球開拓視訊會議市場,並在 2019 年 1 月加入 Zoom。

Zoom 國際負責人  Abe Smith

近日各項疑慮 Zoom 親自說明 

Q: Zoom 目前移除了所有位於中國 HTTPS 通道的伺服器,以防止任何未預期的會議連線至中國大陸,根據這項新政策,對台灣的 Zoom 免費用戶來說「帳戶被創立的所在區域」是哪個區域?

A: 位於香港和台灣的用戶主要使用香港、日本和美國 (US)的資料中心,他們的會議資料將不會連接至中國的資料中心。除非用戶參加由中國帳戶在中國舉辦的會議,否則中國(CN)的數據中心是按地理區域劃分隔離,除居住在中國的用戶外,任何其他地區的用戶均不會連接上。

Q: 4 月1 日的暗網上,就有 352 個 Zoom 帳號被公布,包括會議 ID、密碼、Email,以及主持人金鑰與名字,當中並有少數是企業帳號,針對這件事情 Zoom 稍早進行回應,進一步細節為何,會採取什麼措施保護?

A: 消費者端的網路服務經常受到此類攻擊,這通常是有心人士利用由其他平台大量盜取的帳號密碼,測試用戶是否在其他地方重複使用。這種攻擊通常不會影響使用單一登入(SSO)系統的大型企業客戶,我們已經聘請了多家情報公司來查詢這類攻擊的來源,同時找來一間公司,他們已關閉了數千個欺騙用戶下載惡意軟體或交出其資訊的公司。

我們會持續進行調查,鎖定受到攻擊的帳戶,提醒用戶更換高安全度的密碼,也會積極尋求其他技術解決方案以確保客戶的資料安全。

Q: Zoom 在美國 SEC 文件顯示,中國子公司在中國僱用了至少 700 名從事研發工作的員工。 不過 Zoom 收入的 81% 來自美國,這樣的模式在市場引發疑慮,對此你們如何回應,是否會採取其他策略?

A: 所有 Zoom 的原始程式碼均於美國儲存及建立版本。Zoom 在中國的軟體開發人員,主要是由美國的工程團隊負責管理,並依據 Zoom 美國工程小組的設計和架構決策履行職責。

前述中國開發人員無法存取 Zoom 正式作業環境、沒有權力或權限對平台進行實質變更,也沒有方法能夠存取任何會議內容。最重要的是,在所有 Zoom 工程部門中,不論位於何處,我們的工程師只能存取其特定職務所需的原始程式碼。

Q: 對於 Zoombombing 的現象,Zoom 又是如何看待?在教學環境或是重要會議上的使用情境問題,該如何應對?

A: 我們對這類事件深感遺憾。Zoom 強力譴責這類行為,並於最近已更新多項功能,協助使用者更輕易地保護會議。

舉例來說,目前已經針對教育計劃註冊的教育帳號及免費和單一升級帳號使用者,預設啟用會議密碼及虛擬等候室功能。我們也為教育計劃使用者更新預設畫面分享設定,確保課堂上只有教師能夠分享內容。

同時,也為所有使用者降低 Zoom 會議 ID 的能見度,協助避免意外分享,也在 Zoom 會議控制項新增新的安全圖示,讓會議主持人能迅速使用會議上的安全功能,像是移除與會者、鎖定會議及其他各種行動。Zoom 也提供用戶端訓練、教學及網路研討會,像是執行長 Eric S. Yuan 每週會進行的隱私及安全網路研討會,持續和使用者互動,幫助大家了解如何妥善運用 Zoom 及保護會議。

我們鼓勵使用者向 Zoom 檢舉任何類似事件,協助 Zoom 採取適當行動,或直接向執法機關舉報。

Q: 在稍早說明中提到 256-AES ECB 加密機制改為使用更安全的 256-AES GCM 導入新的加密設計,加密計劃的時程最快什麼時候會更新?

A: Zoom 正在升級至 AES 256 位元 GCM 加密標準,以增強對會議資料傳送的保護並防止干預。這為 Zoom 會議、Zoom 視訊網絡研討會和 Zoom Phone 的資料提供了機密性和完整性的保證。 Zoom 5.0 支援 GCM 加密標準。所有帳戶需啟用 GCM ,此加密標準才會生效。5月30日開始所有帳戶都會以 GCM 加密。

用戶端如何保護自身隱私

Q:根據昨日更新版本, Zoom 提到免費帳戶現在已預設開啟多項安全設定,包含哪些?

昨日正式發表的 Zoom 5.0 進行的更新包括安全性圖示選單、增強會議主持人控制權限、「等候室」功能預設改為開啟、會議室密碼複雜度與預設改為開啟、雲端錄影密碼,詳情可參考本篇更新細節。

另外,使用者可以選擇關閉 Zoom Chat 聊天通知的預覽功能。新建非利用個人會議 ID 的會議將使用 11 字元長的 ID 增加其複雜性。在會議期間,會議 ID 和邀請選項從主介面移至與會者選單,避免用戶不小心分享會議 ID。

Q: 資安問題在這次遠端工作潮後被嚴加審視,在隱私問題相對敏感又有必要使用需求下,用戶該如何使用可以確保自身安全呢?

A: Zoom 只會向使用 Zoom 平台的個人收集必要資料,藉由以下方式讓用戶保護自身安全:

  • 驗證:Zoom 提供 SAML、Google 登入、Facebook 登入及/或密碼等各種驗證方式,可由個人在帳戶啟用/停用。
  • 雙重驗證:管理員可為使用者啟用雙重驗證,要求使用者設定及使用雙重驗證以存取 Zoom 入口網站。
  • 視訊預覽:在加入會議之前,可以預覽視訊及選擇虛擬背景,或決定以無視訊方式加入。
  • 與會者同意錄影:帳戶管理員或會議主持人可要求所有會議錄影顯示快顯通知,告知與會者正在錄影,並於錄影時顯示視覺指標。
  • 移除注意追蹤 (Attention Tracking)功能:Zoom 最近移除選項,讓訓練專業人員無法追蹤出席者是否在會議期間多工作業。
  • 與會者基本技術資訊:(例如使用者 IP 位址、作業系統詳細資料及裝置詳細資料)會收集用於疑難排解及管理員報告。
  • Zoom 儲存的基本資訊:使用者帳戶個人資料資訊包括:電子郵件地址、使用者密碼 - 鹽值(Salt)處理、雜湊處理、名字和姓氏。公司名稱、電話號碼及個人資料圖片均為選擇提供。

Abe 表示 Zoom 過去從未將用戶的資訊銷售給廣告商,未來也無此意圖,Zoom 並沒有監控用戶的會議或其內容,都是遵循營運地區所有適用的隱私權法律、規定及規範,包括 GDPR 及 CCPA,在開始大型會議以下機制與功能保護參與者:

  • 等候室功能:IT 管理員可在帳戶、群組或是使用者層級啟用等候室功能。用戶也可以要求所有參與會議者使用等候室,或設定僅用於「不在帳戶中的訪客」。若設為選用,會議主持人可於 Zoom 設定檔的「設定」功能表啟用等候室。
  • 密碼設定:密碼可於個人會議層級設定,或於使用者、群組或帳戶層級啟用,用於所有會議及網路研討會。帳戶擁有者及管理員也可鎖定密碼設定,要求在其帳戶的所有會議和網路研討會使用密碼。
  • 依據網域加入:只有通過驗證的使用者可以加入會議,其中會要求個人登入 Zoom 帳戶,及/或在允許加入前確保電子郵件列入核准清單。

另外,Zoom 上的控制功能,可以更加確保會議安全且順暢進行,像是工具列安全選項、鎖定會議、移除與會者詳細內容可參考下表:

其他:資安顧問組織進度 軟體價格 危機應變?

Q: Zoom 先前找來臉書安全長擔任外部資安顧問,有預告找來 VMware、Netflix、Uber 等多家公司的資安長,來擔任 Zoom 資安長會議及顧問委員會成員,目前有哪些代表性人物,是否有可透露的進度?

A: 我們 90 天資安計劃最重要的承諾之一,就是對平台進行全面的安全審核,其中邀請第三方專家參與是這項工作的關鍵所在。我們持續努力不懈執行計劃,非常興奮能夠延攬各個領域的業界頂尖顧問加入其中。我們期望未來與各位分享更多努力成果。

Q: 針對台灣代理商軟體付費為什麼價格落差不小?多數用戶也是直接向官方購買,目前代理商是針對哪些客群提供服務?

A: 一般而言我們各地的代理商可以提供額外的服務,包括在市場當地的支援、技術協助、以及用當地的語言提供訓練與部屬。

最後,針對許多代表性的企業與公家單位直接下令禁用,對 Zoom 來說影響,台灣有中研院資訊處對此建議一般用戶建議直接採用 Zoom for Government。至於 Zoom 的官方立場,Abe 僅表示 Zoom 非常重視所有終端使用者的隱私與安全,在全球金融服務公司、電信供應商、政府機構、大學乃至於其他組織,世界各地有非常多機構有使用者,對網路和資料中心層進行詳盡的安全審核。

核稿編輯:李柏鋒



台灣疫情加溫,圓剛科技遠端方案幫助企業與學校數位轉型

在近日本土疫情的嚴峻情況下,商務活動、學校課程或生活娛樂都大受衝擊,遠距視訊的需求是所有人必須面對的課題。圓剛科技個人影音設備堅持台灣設計製造,協助居家防疫、守護台灣,以實際行動為第一線防疫人員加油。
評論
Photo Credit:圓剛科技
評論

新冠肺炎(COVID-19)疫情自五月中爆發以來,確診數不斷攀升,指揮中心指揮官陳時中 19 日宣布,全國疫情警戒升至第三級,也希望各企業也比照辦理防堵疫情擴散,且全國各級學校及幼兒園居家線上學習也延長至 6 月 28 日。台灣在疫苗數量和施打率落後的情況下,各機構配合政策紛紛祭出遠距工作、學習的對策,各行各業也積極的添購新設備,以維持正常運作。

遠端工作、遠距教學不再是未來趨勢,而更是現在的急迫需求

一般電腦內建的攝影機和麥克風或許可滿足大部分人的休閒需求,但為了能應對與客戶、主管以及同事間精準有效率的溝通,高品質的影音設備是不可或缺的。在家工作時最困擾的莫過於因為與家人同住或家中寵物小孩的干擾,會議品質與工作效率都會大打折扣。根據線上協作軟體公司 Atlassian 從自家軟體的使用行為,分析各國上班族的工時,發現在節省掉通勤時間的情況下,取而代之的是更長時間在座位上的辦公型態,對身心都會有不良影響。

Photo Credit:圓剛科技

影音設備大廠圓剛科技,一直以來致力於提供優秀的影音串流設備,也深耕在個人視訊會議、遠距教學的解決方案多年,除了高品質的產品,快速換新的保固服務,台灣設計及台灣製造的堅持,為品質把關,以及針對遠距工作需求不斷研發出新產品,為商務人士,教育工作及學習者提供完整的視訊影音解決方案。

圓剛最新電話揚聲器 AI 降噪還原舒適辦公環境

圓剛新推出的 AS311 智慧電話會議揚聲器,正是為了解決在家上班的痛點而設計,搭載的 AI 降噪功能可以降低環境噪音,處理屋內雜音不斷、貓狗持續吵鬧的問題,讓對話能清晰傳達給對方;特別是其優秀的收音與揚聲功能,在室內自由移動也不會影響溝通,居家上班不必成天待在座位上,且不用整天掛著耳機,如果怕打擾到家人而身處在狹窄的個人空間,透過回音消除功能,讓對方接收不受雜音干擾的音訊。

而在高畫質影像的需求,則由主打的 PW315 超廣角網路攝影機來滿足,廣闊的視角和高達 60fps 的刷新率,讓視訊畫面清楚而流暢不卡卡,獨特的人像追蹤功能,即使離開座位也不用多花力氣調整畫面。除了工作使用,在遠距面試上,也能完整還原面試表現,為自己加分。這套影音組合從設計到組裝都在台灣,同時也支援主流視訊軟體,不僅符合個人商務需求,品質、保固以及相容性也都可靠無虞。

遠距教學影音 互動完整舒適

各級政府積極應對疫情,並迅速地實施停班不停課的政策,但是一萬多所各級學校的關閉,這樣突如其來的遠距教學需求,挑戰著所有教師和學生,教師需要在提供原有的教學內容之餘,同時關心學生,聯絡感情;而學生則需要能維持良好的通訊設備來有效的學習,和設法彌補以往面對面能訓練的社交能力,家長也必須設法在工作與帶小孩中取得平衡。

Photo Credit:圓剛科技

圓剛的網路攝影機針對各類情境做設計,從 4K 超高畫質到清晰的 1080p,從 74 度視角的個人視訊到 95 度超廣角鏡頭,以及定焦變焦都有專屬的產品可以選擇。

超廣角網路攝影機 PW315 能夠涵蓋黑板、白板的廣闊視角,教師即使透過視訊,仍然能做到配合大肢體動作的板書教學,4K 超高畫質網路攝影機 PW513 則能進一步捕捉更多畫面細節,讓線上教學也能做到生動多變,提高學生課堂專注度。

而目前多為紙本的教材,則能透過 PW310P 自動對焦攝影機的近景成像,清楚展示課本內文,即時捕捉老師教學的教具;教師如果想在多人辦公室製作教學影片時,希望不受干擾也不干擾別人,也可以從 BO317 個人視訊協作組合開始,以親民的價格輕鬆入手完整組合。

超廣角攝影保持溝通效率 學生遠距考試不麻煩

學生則可以透過自動對焦的網路攝影機 PW310P 清楚展示完成作品,讓老師的回饋也能更加清楚,使學生積極完成作業,且更重視下次的作品評價;並搭配 AS311 智慧電話會議揚聲器,能夠以清楚的聲音與同學、老師討論互動,彷彿面對面的臨場感,有效降低遠距的疏離感,保持互動。更重要的是學生不用長時間的配掛耳機,降低耳朵受傷的風險,及提高課堂學習的舒適性,目前很多學校反映有遠距考試的需求,考生須以特定角度開啟視訊,確保桌面、身上和眼前沒有放置作弊嫌疑的物品,也必須包含螢幕畫面,只需要使用超廣角網路攝影機 PW315,就能清楚回傳監考畫面,既能減少準備工作,也確保了考試公信力。

Photo Credit:圓剛科技

圓剛科技 連結工作與生活

在近日本土疫情的嚴峻情況下,商務活動、學校課程或生活娛樂都大受衝擊,居家個人視訊的需求是所有人必須面對的課題。圓剛科技多款產品推出優惠價格來回饋社會,而 AS311 智慧電話揚聲器也有產品借測活動,讓企業和學校在購買前能事先試用,確保符合使用需求,更多產品資訊可參考圓剛科技官網,或與業務聯絡。圓剛科技與國內各單位共體時艱,一同居家防疫、守護台灣,以實際行動為第一線防疫人員加油。

現在只要註冊圓剛官網會員,在圓剛網路商城購買即享多項獨家優惠,並鎖定未來優惠通知。

延伸閱讀:找到屬於你的網路攝影機 | AVerMedia 圓剛

產品特點整理:

AS311

  • 隨插即用,不需任何技術背景
  • AI降噪功能,降低環境雜音(如鍵盤滑鼠敲擊聲、零食咀嚼聲及炒菜煮飯聲等)
  • 全方位收音,不受設備制約,可以離開座位自由移動
  • 讓耳朵不用整天掛著耳機

PW513

  • 極致4K畫質
  • 廣角涵蓋清楚黑板內容
  • 通過Zoom認證 相容主流會議軟體

PW315

  • 通過Zoom認證測試
  • 畫質好畫面流暢(1080p60 fps)
  • 超廣角捕捉人物動作 還原完整畫面
  • 自動人像追蹤 人物不出鏡

PW310P

  • 高畫質1080p30
  • 自動對焦 近物成像清晰
  • 鏡頭遮蓋保障隱私
  • 360度旋轉支架

BO317

  • 高畫質1080p30網路攝影機
  • 搭配高音質頭戴式耳機
  • 屏除環境干擾、避免打擾家人
  •  影音組合入門首選

本文章內容由「圓剛科技」提供,經關鍵評論網媒體集團廣編企劃編審。