【Zoom 資安風暴】台灣用戶資料歸何處? 回覆 INSIDE 十問

針對使用 Zoom 的疑慮,INSIDE 親自向 Zoom 訪談,探詢包含資安計劃進度、受質疑的公司背景、用戶資安等問題,讓讀者們能參考及評估採取個人隱私保護策略。
評論
Photo Credit:Shutterstock
評論

相信讀者們對於近日爆出的視訊軟體風暴感到措手不及,相關政府單位因使用受到質疑,也逐一下令禁用,課堂、會議等必須轉往其他視訊軟體服務。不過我們也發現,在許多私人情境下,仍有不少用戶考量過去使用習慣以及 Zoom 功能與方便性而持續使用,使用者究竟該如何自保?

針對 Zoom 所有疑慮的部分,INSIDE 親自向 Zoom 訪談,向他們探詢包含資安計劃進度、受質疑的公司背景、用戶資安等問題,讓讀者們能參考及評估採取個人隱私保護策略。

本次受訪對象為 Zoom 國際負責人 Abe Smith,先前在甲骨文和思科等企業雲端服務公司任職。 擁有將近 20 年的軟體及服務(SaaS)產業經驗,先前在 WebEX 擔任超過 8 年領導職務,負責在全球開拓視訊會議市場,並在 2019 年 1 月加入 Zoom。

Zoom 國際負責人  Abe Smith

近日各項疑慮 Zoom 親自說明 

Q: Zoom 目前移除了所有位於中國 HTTPS 通道的伺服器,以防止任何未預期的會議連線至中國大陸,根據這項新政策,對台灣的 Zoom 免費用戶來說「帳戶被創立的所在區域」是哪個區域?

A: 位於香港和台灣的用戶主要使用香港、日本和美國 (US)的資料中心,他們的會議資料將不會連接至中國的資料中心。除非用戶參加由中國帳戶在中國舉辦的會議,否則中國(CN)的數據中心是按地理區域劃分隔離,除居住在中國的用戶外,任何其他地區的用戶均不會連接上。

Q: 4 月1 日的暗網上,就有 352 個 Zoom 帳號被公布,包括會議 ID、密碼、Email,以及主持人金鑰與名字,當中並有少數是企業帳號,針對這件事情 Zoom 稍早進行回應,進一步細節為何,會採取什麼措施保護?

A: 消費者端的網路服務經常受到此類攻擊,這通常是有心人士利用由其他平台大量盜取的帳號密碼,測試用戶是否在其他地方重複使用。這種攻擊通常不會影響使用單一登入(SSO)系統的大型企業客戶,我們已經聘請了多家情報公司來查詢這類攻擊的來源,同時找來一間公司,他們已關閉了數千個欺騙用戶下載惡意軟體或交出其資訊的公司。

我們會持續進行調查,鎖定受到攻擊的帳戶,提醒用戶更換高安全度的密碼,也會積極尋求其他技術解決方案以確保客戶的資料安全。

Q: Zoom 在美國 SEC 文件顯示,中國子公司在中國僱用了至少 700 名從事研發工作的員工。 不過 Zoom 收入的 81% 來自美國,這樣的模式在市場引發疑慮,對此你們如何回應,是否會採取其他策略?

A: 所有 Zoom 的原始程式碼均於美國儲存及建立版本。Zoom 在中國的軟體開發人員,主要是由美國的工程團隊負責管理,並依據 Zoom 美國工程小組的設計和架構決策履行職責。

前述中國開發人員無法存取 Zoom 正式作業環境、沒有權力或權限對平台進行實質變更,也沒有方法能夠存取任何會議內容。最重要的是,在所有 Zoom 工程部門中,不論位於何處,我們的工程師只能存取其特定職務所需的原始程式碼。

Q: 對於 Zoombombing 的現象,Zoom 又是如何看待?在教學環境或是重要會議上的使用情境問題,該如何應對?

A: 我們對這類事件深感遺憾。Zoom 強力譴責這類行為,並於最近已更新多項功能,協助使用者更輕易地保護會議。

舉例來說,目前已經針對教育計劃註冊的教育帳號及免費和單一升級帳號使用者,預設啟用會議密碼及虛擬等候室功能。我們也為教育計劃使用者更新預設畫面分享設定,確保課堂上只有教師能夠分享內容。

同時,也為所有使用者降低 Zoom 會議 ID 的能見度,協助避免意外分享,也在 Zoom 會議控制項新增新的安全圖示,讓會議主持人能迅速使用會議上的安全功能,像是移除與會者、鎖定會議及其他各種行動。Zoom 也提供用戶端訓練、教學及網路研討會,像是執行長 Eric S. Yuan 每週會進行的隱私及安全網路研討會,持續和使用者互動,幫助大家了解如何妥善運用 Zoom 及保護會議。

我們鼓勵使用者向 Zoom 檢舉任何類似事件,協助 Zoom 採取適當行動,或直接向執法機關舉報。

Q: 在稍早說明中提到 256-AES ECB 加密機制改為使用更安全的 256-AES GCM 導入新的加密設計,加密計劃的時程最快什麼時候會更新?

A: Zoom 正在升級至 AES 256 位元 GCM 加密標準,以增強對會議資料傳送的保護並防止干預。這為 Zoom 會議、Zoom 視訊網絡研討會和 Zoom Phone 的資料提供了機密性和完整性的保證。 Zoom 5.0 支援 GCM 加密標準。所有帳戶需啟用 GCM ,此加密標準才會生效。5月30日開始所有帳戶都會以 GCM 加密。

用戶端如何保護自身隱私

Q:根據昨日更新版本, Zoom 提到免費帳戶現在已預設開啟多項安全設定,包含哪些?

昨日正式發表的 Zoom 5.0 進行的更新包括安全性圖示選單、增強會議主持人控制權限、「等候室」功能預設改為開啟、會議室密碼複雜度與預設改為開啟、雲端錄影密碼,詳情可參考本篇更新細節。

另外,使用者可以選擇關閉 Zoom Chat 聊天通知的預覽功能。新建非利用個人會議 ID 的會議將使用 11 字元長的 ID 增加其複雜性。在會議期間,會議 ID 和邀請選項從主介面移至與會者選單,避免用戶不小心分享會議 ID。

Q: 資安問題在這次遠端工作潮後被嚴加審視,在隱私問題相對敏感又有必要使用需求下,用戶該如何使用可以確保自身安全呢?

A: Zoom 只會向使用 Zoom 平台的個人收集必要資料,藉由以下方式讓用戶保護自身安全:

  • 驗證:Zoom 提供 SAML、Google 登入、Facebook 登入及/或密碼等各種驗證方式,可由個人在帳戶啟用/停用。
  • 雙重驗證:管理員可為使用者啟用雙重驗證,要求使用者設定及使用雙重驗證以存取 Zoom 入口網站。
  • 視訊預覽:在加入會議之前,可以預覽視訊及選擇虛擬背景,或決定以無視訊方式加入。
  • 與會者同意錄影:帳戶管理員或會議主持人可要求所有會議錄影顯示快顯通知,告知與會者正在錄影,並於錄影時顯示視覺指標。
  • 移除注意追蹤 (Attention Tracking)功能:Zoom 最近移除選項,讓訓練專業人員無法追蹤出席者是否在會議期間多工作業。
  • 與會者基本技術資訊:(例如使用者 IP 位址、作業系統詳細資料及裝置詳細資料)會收集用於疑難排解及管理員報告。
  • Zoom 儲存的基本資訊:使用者帳戶個人資料資訊包括:電子郵件地址、使用者密碼 - 鹽值(Salt)處理、雜湊處理、名字和姓氏。公司名稱、電話號碼及個人資料圖片均為選擇提供。

Abe 表示 Zoom 過去從未將用戶的資訊銷售給廣告商,未來也無此意圖,Zoom 並沒有監控用戶的會議或其內容,都是遵循營運地區所有適用的隱私權法律、規定及規範,包括 GDPR 及 CCPA,在開始大型會議以下機制與功能保護參與者:

  • 等候室功能:IT 管理員可在帳戶、群組或是使用者層級啟用等候室功能。用戶也可以要求所有參與會議者使用等候室,或設定僅用於「不在帳戶中的訪客」。若設為選用,會議主持人可於 Zoom 設定檔的「設定」功能表啟用等候室。
  • 密碼設定:密碼可於個人會議層級設定,或於使用者、群組或帳戶層級啟用,用於所有會議及網路研討會。帳戶擁有者及管理員也可鎖定密碼設定,要求在其帳戶的所有會議和網路研討會使用密碼。
  • 依據網域加入:只有通過驗證的使用者可以加入會議,其中會要求個人登入 Zoom 帳戶,及/或在允許加入前確保電子郵件列入核准清單。

另外,Zoom 上的控制功能,可以更加確保會議安全且順暢進行,像是工具列安全選項、鎖定會議、移除與會者詳細內容可參考下表:

其他:資安顧問組織進度 軟體價格 危機應變?

Q: Zoom 先前找來臉書安全長擔任外部資安顧問,有預告找來 VMware、Netflix、Uber 等多家公司的資安長,來擔任 Zoom 資安長會議及顧問委員會成員,目前有哪些代表性人物,是否有可透露的進度?

A: 我們 90 天資安計劃最重要的承諾之一,就是對平台進行全面的安全審核,其中邀請第三方專家參與是這項工作的關鍵所在。我們持續努力不懈執行計劃,非常興奮能夠延攬各個領域的業界頂尖顧問加入其中。我們期望未來與各位分享更多努力成果。

Q: 針對台灣代理商軟體付費為什麼價格落差不小?多數用戶也是直接向官方購買,目前代理商是針對哪些客群提供服務?

A: 一般而言我們各地的代理商可以提供額外的服務,包括在市場當地的支援、技術協助、以及用當地的語言提供訓練與部屬。

最後,針對許多代表性的企業與公家單位直接下令禁用,對 Zoom 來說影響,台灣有中研院資訊處對此建議一般用戶建議直接採用 Zoom for Government。至於 Zoom 的官方立場,Abe 僅表示 Zoom 非常重視所有終端使用者的隱私與安全,在全球金融服務公司、電信供應商、政府機構、大學乃至於其他組織,世界各地有非常多機構有使用者,對網路和資料中心層進行詳盡的安全審核。

核稿編輯:李柏鋒



佈局未來需求! Viva TV 導入 Seagate 儲存解決方案,打造可「與時俱進」的海量影音資料庫!

「電視購物」的概念自 80 年興起後已有超過 40 年的歷史,目前國內也有多間經營近 20 年的電視購物頻道,在面對網路電商、直播帶貨…等新型態的銷售方式,電視購物業者如何做到「進可攻,退可守」?
評論
Photo Credit:Viva TV
評論

在 2000 年左右,隨著東森購物、富邦 momo 與 Viva TV 美好購物…等多個電視購物頻道陸續開播,也引發一波「看電視,打電話買東西」的熱潮,全盛時期電視購物頻道的收視人口甚至覆蓋超過全國總人口的一半,潛在營收規模上看新台幣千億元。

不過隨著網路電商的興起,以及後來寬頻網路與行動網路的普及,帶動了網路串流影音內容的發展,也大大影響了電視購物頻道的營收表現,除了因應轉型 EC 電子商務業務,國內知名電視購物頻道之一的 Viva TV 美好購物也選擇站穩腳步,鞏固現有業務,透過優質的節目內容為消費者創造價值,同時也進一步思索如何強化營運效能,找出未來創新的可能方向。

影音檔案龐大,儲存也需要講求效率

對於電視台來說,每日產出的影音內容,都需要被完整儲存下來,除了作為電視台日後參考使用的歷史資料,也需要符合政府法規制定的規範保留一定年限,日積月累,所需要佔用的空間真的十分可觀。以 Viva TV 自身為例,每日購物台會有數小時的全新節目,每一小時的影音內容達 15GB~18GB,因此每日最低就需要 150GB 的儲存量。

不過以購物台的內容形態而言,其實對於歷史資料的保留需求並不高,雖說目前從 2005 年開台至今的 SD、HD 影音內容都有完整保存,但公司內部其實也有歷史影音內容需求性與保存時間的討論,由於過去儲存資料的方式單純以「片庫」的形態來管理,所以資料的擺放其實相散亂,只要求基本服務的正常運作,但當需要查找檔案較龐大的舊影音時,就會遇到處理效能較為緩慢的問題。而當時建置的儲存系統廠商已無法解決效能上的問題,也因此最終考量建置全新的資料儲存中心,以便進行資料的搬遷與升級。

企業選擇儲存解決方案:容量、效率、穩定性三大條件缺一不可

近期 Viva TV 與知名儲存解決方案廠商 Seagate 希捷合作,導入企業級的儲存解決方案,採用兼顧大容量與高效能的 5U 高密度機架式存設備 ExoS E 5U84,搭配單碟 18TB 容量的 Exos X18 企業級硬體,打造總容量 1.5 PB(1,500 TB)的超大儲存系統。

Photo Credit:Viva TV
Viva TV攜手Seagate解決資料儲存問題

董事長室的專案規劃經理林振德與我們分享,對於 Viva TV 來說,選擇企業級儲存解決方案的三個主要條件,包括了「容量」是否符合未來內容成長需求,以及前面提到調用資料的「效率」問題之外,另一個絕對必要的就是產品的穩定性與廠商在系統整合支援的能力。

在「容量」評估方面,考量到過去舊有儲存系統已經有 300 TB 規模的資料量,以及未來資料增長的需求,Viva TV 評估需要更大的總容量,同時為了限縮主機佔用的機架空間,因此單一磁碟的儲存量與整個儲存系統的儲存密度就顯得更為重要,也因此選用 Seagate 單碟 18 TB、可擴充達 84 顆硬碟的儲存主機就獲得 Viva TV 的青睞,同時以單位儲存價格比來說,Seagate 也是目前市場上極具競爭力的選擇,也為企業節省不少成本。此外,在「效率」的表現方面,Exos X18 提供進階寫入快取機制,能提供 270 MB/s 的傳輸效率,而 ExoS E 5U84 也內建雙控制器配置,最高傳輸量達 5.5GB/s 寫入;7GB/s 讀取,能滿足資料隨時調用的需求。

除了實際使用上的需求,對於所有企業而言,資料儲存的「穩定性」絕對是重中之重,若是發生硬體方面的問題,受到影響的部門眾多,也會影響整個電視台的營運;而 Seagate 不僅在 Exos X18 企業級硬碟提供高標準的每年 550TB 工作負載率、250 萬小時的 MTBF(平均故障隔時間) ,高密度機架式存設備 ExoS E 5U84 也提供 ADAPT 功能的備援熱插拔控制器、備援熱插拔硬碟機、風扇、雙電源線、熱待機備用、自動容錯轉移與多路徑支援…等提高可用性的機制,另外更為重要的是,Seagate 提供的系統整合服務極為完善,無論是售前或是售後都能保持極為暢通的溝通管道,能即時滿足技術上的支援。

雲端化現階段還未能滿足影音內容應用需求

由於影音檔案的儲存量極為龐大,林振德表示,除了單純解決「如何存放」的問題,能夠有效率的依照需求來調用資料更是一大關鍵,而他們也曾比較過自有的儲存中心與雲端化的儲存服務,除了「成本」是主要考量之外,「應用」更是一大關鍵,尤其是資料上下雲端所需要花費的時間可能會是本地端複製的數倍,可能無法滿足實際使用這些備存檔案的需求;像是過去 Viva TV 就曾經遇到需要配合檢調單位調出特定產品的資料時,就要一次找出不同年份、時間有曝光產品的節目內容,檔案規模也高達數百 GB,光是本地端匯出資料就耗費大量時間,若是真的採用雲端化儲存,恐怕花費的時間會增加數倍,同時單純靜態資料的固定備份,也將增加日常維運的時間成本。

現階段 Viva TV 仍以本地端磁碟儲存系統為主要解決方案的主要理由還是在於龐大儲存量的需求,雲端的成本仍舊偏高,再者就是資料上雲後,資料下載時的速度是否足夠,以實際需求面來說,影音儲存的目的並非單純的「稽核備份」,能夠「隨取使用」更是一大重點。

迎接 8K 世代,「與時俱進」絕對必要

電視產業的大環境變遷絕對是目前面臨最大的挑戰,近幾年因為疫情影響,也可以發現到競爭對手搭上電商需求的浪潮轉型成功,不過對於電視購物這一個領域,Viva TV 對於未來發展仍舊看好,如何內容做到更好會是聚焦的重點,在堅守本業的同時,與 EC 整合,同時吸取網路直播帶貨、低成本形態的媒體營運模式之長,做出內容拍攝、銷售形態的轉變將會是下一階段的目標,畢竟年輕族群接收資訊的主要管道已非電視平台,如何拉回這些人的目光焦點會是非常重要的關鍵。

Photo Credit:Viva TV
Viva TV積極做內容優化,看好未來市場仍大有可為。

除此之外,在電視節目由 SD 轉變為 HD 之後,下一步可能會直接跳過 4K 而進入到 8K 世代,以目前公眾平台的傳輸基礎量來評估,2 至 3 年後台灣的收視就將進入到 8K 市場,目前已有業者正在實測營運 8K 影音內容,而這也將會是電視購物頻道下一階段要面臨的挑戰。

單位資料量比現有 HD 等級高出數倍的 8K 超高畫質內容,可符合儲存容量且高效穩定的數位儲存系統,對於電視台來說絕對會是必要的投資項目,以 Viva TV 所導入的 Seagate 企業儲存解決方案來說,已經能夠因應未來 5 年的實際使用需求,同時也兼具「與時俱進」的擴充彈性,從容不迫地面對下一階段的挑戰。