【Zoom 資安風暴】台灣用戶資料歸何處? 回覆 INSIDE 十問

針對使用 Zoom 的疑慮,INSIDE 親自向 Zoom 訪談,探詢包含資安計劃進度、受質疑的公司背景、用戶資安等問題,讓讀者們能參考及評估採取個人隱私保護策略。
評論
Photo Credit:Shutterstock
Photo Credit:Shutterstock
評論

相信讀者們對於近日爆出的視訊軟體風暴感到措手不及,相關政府單位因使用受到質疑,也逐一下令禁用,課堂、會議等必須轉往其他視訊軟體服務。不過我們也發現,在許多私人情境下,仍有不少用戶考量過去使用習慣以及 Zoom 功能與方便性而持續使用,使用者究竟該如何自保?

針對 Zoom 所有疑慮的部分,INSIDE 親自向 Zoom 訪談,向他們探詢包含資安計劃進度、受質疑的公司背景、用戶資安等問題,讓讀者們能參考及評估採取個人隱私保護策略。

本次受訪對象為 Zoom 國際負責人 Abe Smith,先前在甲骨文和思科等企業雲端服務公司任職。 擁有將近 20 年的軟體及服務(SaaS)產業經驗,先前在 WebEX 擔任超過 8 年領導職務,負責在全球開拓視訊會議市場,並在 2019 年 1 月加入 Zoom。

Abe_Smith
Zoom 國際負責人  Abe Smith

近日各項疑慮 Zoom 親自說明 

Q: Zoom 目前移除了所有位於中國 HTTPS 通道的伺服器,以防止任何未預期的會議連線至中國大陸,根據這項新政策,對台灣的 Zoom 免費用戶來說「帳戶被創立的所在區域」是哪個區域?

A: 位於香港和台灣的用戶主要使用香港、日本和美國 (US)的資料中心,他們的會議資料將不會連接至中國的資料中心。除非用戶參加由中國帳戶在中國舉辦的會議,否則中國(CN)的數據中心是按地理區域劃分隔離,除居住在中國的用戶外,任何其他地區的用戶均不會連接上。

Q: 4 月1 日的暗網上,就有 352 個 Zoom 帳號被公布,包括會議 ID、密碼、Email,以及主持人金鑰與名字,當中並有少數是企業帳號,針對這件事情 Zoom 稍早進行回應,進一步細節為何,會採取什麼措施保護?

A: 消費者端的網路服務經常受到此類攻擊,這通常是有心人士利用由其他平台大量盜取的帳號密碼,測試用戶是否在其他地方重複使用。這種攻擊通常不會影響使用單一登入(SSO)系統的大型企業客戶,我們已經聘請了多家情報公司來查詢這類攻擊的來源,同時找來一間公司,他們已關閉了數千個欺騙用戶下載惡意軟體或交出其資訊的公司。

我們會持續進行調查,鎖定受到攻擊的帳戶,提醒用戶更換高安全度的密碼,也會積極尋求其他技術解決方案以確保客戶的資料安全。

Q: Zoom 在美國 SEC 文件顯示,中國子公司在中國僱用了至少 700 名從事研發工作的員工。 不過 Zoom 收入的 81% 來自美國,這樣的模式在市場引發疑慮,對此你們如何回應,是否會採取其他策略?

A: 所有 Zoom 的原始程式碼均於美國儲存及建立版本。Zoom 在中國的軟體開發人員,主要是由美國的工程團隊負責管理,並依據 Zoom 美國工程小組的設計和架構決策履行職責。

前述中國開發人員無法存取 Zoom 正式作業環境、沒有權力或權限對平台進行實質變更,也沒有方法能夠存取任何會議內容。最重要的是,在所有 Zoom 工程部門中,不論位於何處,我們的工程師只能存取其特定職務所需的原始程式碼。

Q: 對於 Zoombombing 的現象,Zoom 又是如何看待?在教學環境或是重要會議上的使用情境問題,該如何應對?

A: 我們對這類事件深感遺憾。Zoom 強力譴責這類行為,並於最近已更新多項功能,協助使用者更輕易地保護會議。

舉例來說,目前已經針對教育計劃註冊的教育帳號及免費和單一升級帳號使用者,預設啟用會議密碼及虛擬等候室功能。我們也為教育計劃使用者更新預設畫面分享設定,確保課堂上只有教師能夠分享內容。

同時,也為所有使用者降低 Zoom 會議 ID 的能見度,協助避免意外分享,也在 Zoom 會議控制項新增新的安全圖示,讓會議主持人能迅速使用會議上的安全功能,像是移除與會者、鎖定會議及其他各種行動。Zoom 也提供用戶端訓練、教學及網路研討會,像是執行長 Eric S. Yuan 每週會進行的隱私及安全網路研討會,持續和使用者互動,幫助大家了解如何妥善運用 Zoom 及保護會議。

我們鼓勵使用者向 Zoom 檢舉任何類似事件,協助 Zoom 採取適當行動,或直接向執法機關舉報。

Q: 在稍早說明中提到 256-AES ECB 加密機制改為使用更安全的 256-AES GCM 導入新的加密設計,加密計劃的時程最快什麼時候會更新?

A: Zoom 正在升級至 AES 256 位元 GCM 加密標準,以增強對會議資料傳送的保護並防止干預。這為 Zoom 會議、Zoom 視訊網絡研討會和 Zoom Phone 的資料提供了機密性和完整性的保證。 Zoom 5.0 支援 GCM 加密標準。所有帳戶需啟用 GCM ,此加密標準才會生效。5月30日開始所有帳戶都會以 GCM 加密。

用戶端如何保護自身隱私

Q:根據昨日更新版本, Zoom 提到免費帳戶現在已預設開啟多項安全設定,包含哪些?

昨日正式發表的 Zoom 5.0 進行的更新包括安全性圖示選單、增強會議主持人控制權限、「等候室」功能預設改為開啟、會議室密碼複雜度與預設改為開啟、雲端錄影密碼,詳情可參考本篇更新細節。

另外,使用者可以選擇關閉 Zoom Chat 聊天通知的預覽功能。新建非利用個人會議 ID 的會議將使用 11 字元長的 ID 增加其複雜性。在會議期間,會議 ID 和邀請選項從主介面移至與會者選單,避免用戶不小心分享會議 ID。

Q: 資安問題在這次遠端工作潮後被嚴加審視,在隱私問題相對敏感又有必要使用需求下,用戶該如何使用可以確保自身安全呢?

A: Zoom 只會向使用 Zoom 平台的個人收集必要資料,藉由以下方式讓用戶保護自身安全:

  • 驗證:Zoom 提供 SAML、Google 登入、Facebook 登入及/或密碼等各種驗證方式,可由個人在帳戶啟用/停用。
  • 雙重驗證:管理員可為使用者啟用雙重驗證,要求使用者設定及使用雙重驗證以存取 Zoom 入口網站。
  • 視訊預覽:在加入會議之前,可以預覽視訊及選擇虛擬背景,或決定以無視訊方式加入。
  • 與會者同意錄影:帳戶管理員或會議主持人可要求所有會議錄影顯示快顯通知,告知與會者正在錄影,並於錄影時顯示視覺指標。
  • 移除注意追蹤 (Attention Tracking)功能:Zoom 最近移除選項,讓訓練專業人員無法追蹤出席者是否在會議期間多工作業。
  • 與會者基本技術資訊:(例如使用者 IP 位址、作業系統詳細資料及裝置詳細資料)會收集用於疑難排解及管理員報告。
  • Zoom 儲存的基本資訊:使用者帳戶個人資料資訊包括:電子郵件地址、使用者密碼 - 鹽值(Salt)處理、雜湊處理、名字和姓氏。公司名稱、電話號碼及個人資料圖片均為選擇提供。

Abe 表示 Zoom 過去從未將用戶的資訊銷售給廣告商,未來也無此意圖,Zoom 並沒有監控用戶的會議或其內容,都是遵循營運地區所有適用的隱私權法律、規定及規範,包括 GDPR 及 CCPA,在開始大型會議以下機制與功能保護參與者:

  • 等候室功能:IT 管理員可在帳戶、群組或是使用者層級啟用等候室功能。用戶也可以要求所有參與會議者使用等候室,或設定僅用於「不在帳戶中的訪客」。若設為選用,會議主持人可於 Zoom 設定檔的「設定」功能表啟用等候室。
  • 密碼設定:密碼可於個人會議層級設定,或於使用者、群組或帳戶層級啟用,用於所有會議及網路研討會。帳戶擁有者及管理員也可鎖定密碼設定,要求在其帳戶的所有會議和網路研討會使用密碼。
  • 依據網域加入:只有通過驗證的使用者可以加入會議,其中會要求個人登入 Zoom 帳戶,及/或在允許加入前確保電子郵件列入核准清單。

另外,Zoom 上的控制功能,可以更加確保會議安全且順暢進行,像是工具列安全選項、鎖定會議、移除與會者詳細內容可參考下表:

螢幕快照_2020-04-24_上午11_41_36

其他:資安顧問組織進度 軟體價格 危機應變?

Q: Zoom 先前找來臉書安全長擔任外部資安顧問,有預告找來 VMware、Netflix、Uber 等多家公司的資安長,來擔任 Zoom 資安長會議及顧問委員會成員,目前有哪些代表性人物,是否有可透露的進度?

A: 我們 90 天資安計劃最重要的承諾之一,就是對平台進行全面的安全審核,其中邀請第三方專家參與是這項工作的關鍵所在。我們持續努力不懈執行計劃,非常興奮能夠延攬各個領域的業界頂尖顧問加入其中。我們期望未來與各位分享更多努力成果。

Q: 針對台灣代理商軟體付費為什麼價格落差不小?多數用戶也是直接向官方購買,目前代理商是針對哪些客群提供服務?

A: 一般而言我們各地的代理商可以提供額外的服務,包括在市場當地的支援、技術協助、以及用當地的語言提供訓練與部屬。

最後,針對許多代表性的企業與公家單位直接下令禁用,對 Zoom 來說影響,台灣有中研院資訊處對此建議一般用戶建議直接採用 Zoom for Government。至於 Zoom 的官方立場,Abe 僅表示 Zoom 非常重視所有終端使用者的隱私與安全,在全球金融服務公司、電信供應商、政府機構、大學乃至於其他組織,世界各地有非常多機構有使用者,對網路和資料中心層進行詳盡的安全審核。

核稿編輯:李柏鋒




精選熱門好工作

產品企劃

皇博數位有限公司
高雄市.台灣

獎勵 NT$15,000

跨境/電商運營專員

魔髮部屋
臺北市.台灣

獎勵 NT$15,000

Data Scientist

VeryBuy非常勸敗
臺北市.台灣

獎勵 NT$15,000