【Zoom 資安風暴】台灣用戶資料歸何處? 回覆 INSIDE 十問

針對使用 Zoom 的疑慮,INSIDE 親自向 Zoom 訪談,探詢包含資安計劃進度、受質疑的公司背景、用戶資安等問題,讓讀者們能參考及評估採取個人隱私保護策略。
評論
Photo Credit:Shutterstock
評論

相信讀者們對於近日爆出的視訊軟體風暴感到措手不及,相關政府單位因使用受到質疑,也逐一下令禁用,課堂、會議等必須轉往其他視訊軟體服務。不過我們也發現,在許多私人情境下,仍有不少用戶考量過去使用習慣以及 Zoom 功能與方便性而持續使用,使用者究竟該如何自保?

針對 Zoom 所有疑慮的部分,INSIDE 親自向 Zoom 訪談,向他們探詢包含資安計劃進度、受質疑的公司背景、用戶資安等問題,讓讀者們能參考及評估採取個人隱私保護策略。

本次受訪對象為 Zoom 國際負責人 Abe Smith,先前在甲骨文和思科等企業雲端服務公司任職。 擁有將近 20 年的軟體及服務(SaaS)產業經驗,先前在 WebEX 擔任超過 8 年領導職務,負責在全球開拓視訊會議市場,並在 2019 年 1 月加入 Zoom。

Zoom 國際負責人  Abe Smith

近日各項疑慮 Zoom 親自說明 

Q: Zoom 目前移除了所有位於中國 HTTPS 通道的伺服器,以防止任何未預期的會議連線至中國大陸,根據這項新政策,對台灣的 Zoom 免費用戶來說「帳戶被創立的所在區域」是哪個區域?

A: 位於香港和台灣的用戶主要使用香港、日本和美國 (US)的資料中心,他們的會議資料將不會連接至中國的資料中心。除非用戶參加由中國帳戶在中國舉辦的會議,否則中國(CN)的數據中心是按地理區域劃分隔離,除居住在中國的用戶外,任何其他地區的用戶均不會連接上。

Q: 4 月1 日的暗網上,就有 352 個 Zoom 帳號被公布,包括會議 ID、密碼、Email,以及主持人金鑰與名字,當中並有少數是企業帳號,針對這件事情 Zoom 稍早進行回應,進一步細節為何,會採取什麼措施保護?

A: 消費者端的網路服務經常受到此類攻擊,這通常是有心人士利用由其他平台大量盜取的帳號密碼,測試用戶是否在其他地方重複使用。這種攻擊通常不會影響使用單一登入(SSO)系統的大型企業客戶,我們已經聘請了多家情報公司來查詢這類攻擊的來源,同時找來一間公司,他們已關閉了數千個欺騙用戶下載惡意軟體或交出其資訊的公司。

我們會持續進行調查,鎖定受到攻擊的帳戶,提醒用戶更換高安全度的密碼,也會積極尋求其他技術解決方案以確保客戶的資料安全。

Q: Zoom 在美國 SEC 文件顯示,中國子公司在中國僱用了至少 700 名從事研發工作的員工。 不過 Zoom 收入的 81% 來自美國,這樣的模式在市場引發疑慮,對此你們如何回應,是否會採取其他策略?

A: 所有 Zoom 的原始程式碼均於美國儲存及建立版本。Zoom 在中國的軟體開發人員,主要是由美國的工程團隊負責管理,並依據 Zoom 美國工程小組的設計和架構決策履行職責。

前述中國開發人員無法存取 Zoom 正式作業環境、沒有權力或權限對平台進行實質變更,也沒有方法能夠存取任何會議內容。最重要的是,在所有 Zoom 工程部門中,不論位於何處,我們的工程師只能存取其特定職務所需的原始程式碼。

Q: 對於 Zoombombing 的現象,Zoom 又是如何看待?在教學環境或是重要會議上的使用情境問題,該如何應對?

A: 我們對這類事件深感遺憾。Zoom 強力譴責這類行為,並於最近已更新多項功能,協助使用者更輕易地保護會議。

舉例來說,目前已經針對教育計劃註冊的教育帳號及免費和單一升級帳號使用者,預設啟用會議密碼及虛擬等候室功能。我們也為教育計劃使用者更新預設畫面分享設定,確保課堂上只有教師能夠分享內容。

同時,也為所有使用者降低 Zoom 會議 ID 的能見度,協助避免意外分享,也在 Zoom 會議控制項新增新的安全圖示,讓會議主持人能迅速使用會議上的安全功能,像是移除與會者、鎖定會議及其他各種行動。Zoom 也提供用戶端訓練、教學及網路研討會,像是執行長 Eric S. Yuan 每週會進行的隱私及安全網路研討會,持續和使用者互動,幫助大家了解如何妥善運用 Zoom 及保護會議。

我們鼓勵使用者向 Zoom 檢舉任何類似事件,協助 Zoom 採取適當行動,或直接向執法機關舉報。

Q: 在稍早說明中提到 256-AES ECB 加密機制改為使用更安全的 256-AES GCM 導入新的加密設計,加密計劃的時程最快什麼時候會更新?

A: Zoom 正在升級至 AES 256 位元 GCM 加密標準,以增強對會議資料傳送的保護並防止干預。這為 Zoom 會議、Zoom 視訊網絡研討會和 Zoom Phone 的資料提供了機密性和完整性的保證。 Zoom 5.0 支援 GCM 加密標準。所有帳戶需啟用 GCM ,此加密標準才會生效。5月30日開始所有帳戶都會以 GCM 加密。

用戶端如何保護自身隱私

Q:根據昨日更新版本, Zoom 提到免費帳戶現在已預設開啟多項安全設定,包含哪些?

昨日正式發表的 Zoom 5.0 進行的更新包括安全性圖示選單、增強會議主持人控制權限、「等候室」功能預設改為開啟、會議室密碼複雜度與預設改為開啟、雲端錄影密碼,詳情可參考本篇更新細節。

另外,使用者可以選擇關閉 Zoom Chat 聊天通知的預覽功能。新建非利用個人會議 ID 的會議將使用 11 字元長的 ID 增加其複雜性。在會議期間,會議 ID 和邀請選項從主介面移至與會者選單,避免用戶不小心分享會議 ID。

Q: 資安問題在這次遠端工作潮後被嚴加審視,在隱私問題相對敏感又有必要使用需求下,用戶該如何使用可以確保自身安全呢?

A: Zoom 只會向使用 Zoom 平台的個人收集必要資料,藉由以下方式讓用戶保護自身安全:

  • 驗證:Zoom 提供 SAML、Google 登入、Facebook 登入及/或密碼等各種驗證方式,可由個人在帳戶啟用/停用。
  • 雙重驗證:管理員可為使用者啟用雙重驗證,要求使用者設定及使用雙重驗證以存取 Zoom 入口網站。
  • 視訊預覽:在加入會議之前,可以預覽視訊及選擇虛擬背景,或決定以無視訊方式加入。
  • 與會者同意錄影:帳戶管理員或會議主持人可要求所有會議錄影顯示快顯通知,告知與會者正在錄影,並於錄影時顯示視覺指標。
  • 移除注意追蹤 (Attention Tracking)功能:Zoom 最近移除選項,讓訓練專業人員無法追蹤出席者是否在會議期間多工作業。
  • 與會者基本技術資訊:(例如使用者 IP 位址、作業系統詳細資料及裝置詳細資料)會收集用於疑難排解及管理員報告。
  • Zoom 儲存的基本資訊:使用者帳戶個人資料資訊包括:電子郵件地址、使用者密碼 - 鹽值(Salt)處理、雜湊處理、名字和姓氏。公司名稱、電話號碼及個人資料圖片均為選擇提供。

Abe 表示 Zoom 過去從未將用戶的資訊銷售給廣告商,未來也無此意圖,Zoom 並沒有監控用戶的會議或其內容,都是遵循營運地區所有適用的隱私權法律、規定及規範,包括 GDPR 及 CCPA,在開始大型會議以下機制與功能保護參與者:

  • 等候室功能:IT 管理員可在帳戶、群組或是使用者層級啟用等候室功能。用戶也可以要求所有參與會議者使用等候室,或設定僅用於「不在帳戶中的訪客」。若設為選用,會議主持人可於 Zoom 設定檔的「設定」功能表啟用等候室。
  • 密碼設定:密碼可於個人會議層級設定,或於使用者、群組或帳戶層級啟用,用於所有會議及網路研討會。帳戶擁有者及管理員也可鎖定密碼設定,要求在其帳戶的所有會議和網路研討會使用密碼。
  • 依據網域加入:只有通過驗證的使用者可以加入會議,其中會要求個人登入 Zoom 帳戶,及/或在允許加入前確保電子郵件列入核准清單。

另外,Zoom 上的控制功能,可以更加確保會議安全且順暢進行,像是工具列安全選項、鎖定會議、移除與會者詳細內容可參考下表:

其他:資安顧問組織進度 軟體價格 危機應變?

Q: Zoom 先前找來臉書安全長擔任外部資安顧問,有預告找來 VMware、Netflix、Uber 等多家公司的資安長,來擔任 Zoom 資安長會議及顧問委員會成員,目前有哪些代表性人物,是否有可透露的進度?

A: 我們 90 天資安計劃最重要的承諾之一,就是對平台進行全面的安全審核,其中邀請第三方專家參與是這項工作的關鍵所在。我們持續努力不懈執行計劃,非常興奮能夠延攬各個領域的業界頂尖顧問加入其中。我們期望未來與各位分享更多努力成果。

Q: 針對台灣代理商軟體付費為什麼價格落差不小?多數用戶也是直接向官方購買,目前代理商是針對哪些客群提供服務?

A: 一般而言我們各地的代理商可以提供額外的服務,包括在市場當地的支援、技術協助、以及用當地的語言提供訓練與部屬。

最後,針對許多代表性的企業與公家單位直接下令禁用,對 Zoom 來說影響,台灣有中研院資訊處對此建議一般用戶建議直接採用 Zoom for Government。至於 Zoom 的官方立場,Abe 僅表示 Zoom 非常重視所有終端使用者的隱私與安全,在全球金融服務公司、電信供應商、政府機構、大學乃至於其他組織,世界各地有非常多機構有使用者,對網路和資料中心層進行詳盡的安全審核。

核稿編輯:李柏鋒



實踐ESG不能單打獨鬥!解密「夥伴成功學」新世代營運典範心法

Audi 運用「夥伴成功學」策略,多年來培育台灣新創,讓創新能量持續挹注汽車產業;同時台灣奧迪也在實踐 ESG 中,尋找對環境友善、改善都市交通,擁有前瞻特色的移動方案。
評論
Photo Credit:TNL Brand Studio
評論

實踐 ESG 儼然成為全球企業永續經營的重要顯學,如何追求 EPS(每股獲利)之餘,還能落實對環境友善、強化公司治理、以及社會責任,是新世代所有企業都要面臨的轉型難題。

然而,要實踐 ESG 不能只有口號,許多企業現在最棘手的困境,一來是找不到實際方法落實 ESG,難以讓供應鏈夥伴、投資方共襄盛舉;二來是認為投入 ESG 初期可能會增加顯性成本,但是財報不一定會馬上反應績效。

為了讓市場消費者及供應鏈上下游相信「玩真的」,Audi 運用一套「夥伴成功學」策略,多年來培育台灣新創,讓創新能量持續挹注汽車產業;同時台灣奧迪也在實踐 ESG,尋找對環境友善、改善都市交通,擁有前瞻特色的移動方案。

超前部署「夥伴成功學」,Audi 靠這招「幫夥伴贏自己也獲益」

所謂夥伴成功學概念,是從「客戶成功學」延伸而來。過去幾年越來越多 SaaS 行業的公司,透過訂閱服務幫助 B2B 客戶在商業上獲得成功,讓客戶在持續成長獲利的過程,自身也因此獲得營收增加的動力。

至於 Audi 台灣奧迪如何展現「夥伴成功學」價值?2017 年開始舉辦的「奧迪創新獎」(Audi Innovation Award),致力與新創企業鏈結,邀請新創展現創意,進而將創新概念發展到實際的方案。這種「以大帶小」模式,可視為夥伴成功學的精髓。

也就是打造舞台,幫助更多產業的潛在夥伴成功,在這個過程中,Audi也能藉扶植新創團隊相互獲得益處。Audi 之所以要做這件看似吃力不討好的工作,台灣奧迪數位事業處長陳永漢解釋:

「創新,一直以來就存在於Audi的DNA之中,我們相信打開大門、打造舞台,邀請更多夥伴共享創新,自然對跨產業、跨領域的合作,帶來無限可能的局面。」

Photo Credit:TNL Brand Studio

2021 年奧迪創新獎,超過 400 家新創報名,最後 14 家進入決選賽程,顯見競爭之激烈。

仔細盤點 Audi 口中的造舞台,確實不是一件輕鬆任務。因為除了競賽形式,要對夥伴負責,Audi 更投入許多不為人知的心力,像是舉辦工作坊,讓新創團隊深度交流;邀請創業導師,幫助新創團隊優化商業模式;甚至與產官研聯手,例如 TTA 台灣科技新創基地邀請校友參加本次競賽遴選,以及攜手玉山國際加速器(Mosaic Venture Lab)合作,未來將引進市場各種資源,讓台灣的新創有機會踏上國際舞台。

打造未來移動方案展間,ESG 不只是概念更要商轉落地

至於文章一開頭提到,如何落實 ESG?可觀察到 Audi 以奧迪創新獎為根基,灌溉 ESG 元素,今年競賽主題特別設定要涵蓋「永續發展、AI、AR/VR」三項元素,邀請各組新創團隊針對「未來行動式展間」,集思廣益激盪出新穎的移動解決方案。

而且,這項方案必須立基於臺灣的交通基礎建設條件,鼓勵各組新創發揮自身所長,一起討論發想出彼此技術的交集點。

Photo Credit:TNL Brand Studio

這對新創團隊無疑是一個極高挑戰的競賽,獲得金獎團隊之一 GranDen 團隊表示,「每個團隊都是不同專業組成,要從不同領域落實永續議題確實不容易;不過在競賽過程,我們發現更能聚焦市場需求,明確呈現想傳遞的訊息,因此我們各自提出不同的解方。」

金獎另一團隊 XRSPACE 則回應,「身為新創的成員,Audi 打造一個讓我們接觸到其他新創產業的機會,競賽中我們互相交流,也發現每個産業角度看得觀點不同,因此在多方想法刺激之下,共創出過去從沒有想過的可行方案。」

從 Audi 的夥伴成功學典範,給予市場一個嶄新的作法——落實 ESG,不一定只能靠自己閉門造車,要淨零碳排、建構綠色供應鏈,跨產業合作的創意能量,更勝過單一企業的單打獨鬥。

看到今年永續與 AI、AR/VR 科技有更深度整合,Audi Innovation Award 評審之一 HERE Technologies 北亞區資深經理江青菁表示,「臺灣新創能藉由 Audi 落實他們的創新,而且將淨零碳排的永續元素納入解決方案,對Audi未來在研發、服務等面向,等於是超前部署 ESG。」

Photo Credit:TNL Brand Studio

隨著更多新創、供應鏈夥伴與Audi一起加入節能減碳的行列,推出可商轉的具體方案,勢必能實踐ESG,邀請更多夥伴攜手保衛地球!