专栏首页量子位黑客暗网叫卖Zoom账号密码,1分钱能买71个,加密大佬教袁征做人,17年前开源软件现在又火了

黑客暗网叫卖Zoom账号密码,1分钱能买71个,加密大佬教袁征做人,17年前开源软件现在又火了

晓查 郭一璞 发自 凹非寺 量子位 报道 | 公众号 QbitAI

Zoom,现在是风口浪尖上的企业了。

疫情一来,用户数和股价齐飞,但问题也出现的不要太频繁。

一方面进入隐私泄露危机,一方面又因为有中国的公司和服务器而被质疑。

但,使用Zoom的用户们似乎更惨。昨夜,有媒体曝出53万Zoom账号密码被公开在暗网叫卖,而且价格特别便宜,1个账号只卖0.002美分,总共才10美元左右。

换算成人民币,差不多一个账号0.00014元,1分钱能买71个。

要知道,开Zoom会员,一个账号一个月就要19.99美元(140元人民币)啊!注意这个价格不是年费,是月费,比视频网站外卖网站贵好多好多倍。

而且,这些被公开出售的账号,还有不少是来自花旗银行、佛罗里达大学等知名机构的。

可是,Zoom的股价在被曝出消息后还大涨了。

真是难为这些用户了,不好用,还没得选。

撞库获得53万账户密码

用户账号密码泄露的消息,来自网络安全公司Cyble。这家公司日常一直在监控暗网,好发现有没有自己的客户信息泄露或者被盗号。

这次,Cyble发现,在黑客网站上,有人开始卖Zoom账号了,总数53万个。

除了用来卖的部分,黑客还挑出了290个“试用装”免费发布,这些账号来自佛蒙特大学、科罗拉多大学、佛罗里达大学等多所高校。

“试用装”账户

美国媒体BleepingComputer联系了部分被免费曝光的用户,发现其中不少数据都是正确的,而有一位用户说,这个密码是他之前用的旧密码。

这也就意味着,来源是——撞库。

直白来说,就是在之前的各种账号密码泄露的事件中,黑客自己收集了一批账号密码,然后挨个在Zoom上试,把试成功的账号密码单独拉个表格拎出来卖。

这就非常尴尬了,53万账户,黑客肯定不会手动去一个一个复制粘贴登录,这个过程一定是自动进行的,但被撞库成功,意味着Zoom可能没有做足充分的保护措施。

Cyble买了这53万个账户,用来给自己的用户发账户泄露风险的提示。

购买的价格是每个0.002美分,总共花费才10.6美元,74块人民币。

价格不贵,估计也挣不了几个钱,Cyble说黑客把这些挂出来,主要是为了装哔——显得自己很厉害的样子。

他们发现,每个账户被泄露的信息包括邮箱、密码、个人url地址,还有HostKey——就是作为会议主持人管理会议的6位数PIN码。

而且,从域名来看,这些用户包括摩根大通的子公司大通银行、花旗银行,还有一些教育机构等等知名公司或机构。

银行的账户被泄露,那可不知道会有多少秘密流出。

所以都这样了,Zoom知道了吗?怎么说?

Zoom:我们一定改,但是得交钱

不仅密码被盗用,Zoom的服务器地址也被诟病。

多伦多大学之前就发现,使用Zoom的几个人明明都在北美,但是会议数据却要通过中国服务器。

还有会议的密钥是在中国的服务器上生成的。

想象一下,如果是中国人在国内开会,但是数据全都经过美国,密钥也在美国生成,难免不让人怀疑啊,所以用户当然不干了。

在外界的质疑声中,Zoom只好加入给用户选择任意选择服务器的功能,前提是付费,免费用户仍然没有选择的权利。

至于为何要用中国服务器,Zoom CEO袁征也公开解释,因为新冠疫情,导致用户数量激增,去年12月每日用户才1000万,今年3月已经增长到2亿,需要大量增加服务器。

所以Zoom才不得不去选择中国的服务器,因为没有考虑到地理因素,某些会议可能会被链接到中国的服务器上。

但这种解决问题的进度,现在网友们可等不了。

都已经在给Zoom提供“抄作业”参考了。

网友:抄下开源软件的作业吧

既然想用高级功能还要加钱,那就只能让部分用户叛逃了。Zoom不安全又不免费,那就找个更安全的免费软件替代它吧。

国外饱受Zoom折磨的网友推荐使用开源软件Jitsi Meet,不仅免费,而且更安全。更重要是让Zoom看看,人家一个免费软件是如何做加密的,Zoom好好学着点。

和其他视频会议软件一样,Jitsi Meet用户只需分享一段网址即可组织视频会议。

但与Zoom不同的是,如果你仅知道这个网址,是无法侵入会议现场的,打开后也只能看到一片片“雪花”。

这是因为你没有端到端的密钥。参加会议的唯一方法是拥有端到端密钥的特权。然后在网址之后加入一段密钥,就能看见其他同事啦。

每个人密钥都不相同,有几个人参会就有几组密钥,视频内容都是在本地完成加密和解密。

以上只是官方的一个演示,考虑到浏览器记录可能会泄露你的密钥,Jitsi下一步将考虑使用新的算法处理密钥的交换和管理方式,进一步提高安全性。

Jitsi Meet不是什么跟风之作,而且要说到历史,Zoom也得叫前者一声大哥。

Zoom公司是2011年才创立,而Jitsi Meet早在2003年就有了,最初还是斯特拉斯堡大学在读博士生Emil Ivov的项目。

Emil Ivov

没错,这个斯特拉斯堡就是那个诞生“白色相簿”的地方,不知道袁征看到了Emil Ivov,会不会问一句:“你为什么这么熟练啊?”

因为最近的疫情,加上Zoom不给力,Jitsi Meet开源项目又火了起来,短短几天之内GitHub上的活跃度大增。

真是Emil Ivov和一众网友用熟练的技巧教袁征如何做软件。

求助一则

不过,Zoom短时间能改完安全漏洞吗?

看起来是难了。

但更难的是疫情之下把Zoom等视频会议当刚需的企业和用户。

比如我们量子位,编辑部就离不开Zoom,但现在每天目见耳闻这样的隐私安全漏洞,又怎能安心?

现如今真是骑虎难下,Zoom有隐私安全问题,但流畅度、使用体验和跨国远程协作都很好,要“迁移”就得找个一样的体验、更好的安全的软件。

所以你的公司在用什么视频会议软件,你又有什么想吐槽的?欢迎投票参与:

笔芯,感谢~~

作者系网易新闻·网易号“各有态度”签约作者

本文分享自微信公众号 - 量子位(QbitAI),作者:关注前沿科技

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-04-14

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • Zoom重金并购25人安全初创公司,市值一夜大涨23亿美元

    不过先别担心,这次看起来是好事,因为安全问题是指——Zoom收购了一家安全加密公司Keybase。

    量子位
  • 简单几笔素描就能“复原”真实人脸,这是沈向洋高徒出品的CSAGAN

    甚至不画嘴,也不会生成无嘴怪人。效果真实,画面高清,连脸上的皱纹,都刻画得清清楚楚。

    量子位
  • AI何时能懂环境会沟通?别急,这个“你说我画”小游戏开了个好头 | 论文

    安妮 夏乙 编译整理 量子位 出品 | 公众号 QbitAI 晚上9点,一下午开了3个会的你终于回到家,换了衣服瘫倒在沙发里。放空了三分钟之后,你缓过神来,喊了...

    量子位
  • Zoom 妥协!对免费用户开放端到端加密服务

    内容概要:2020 年伊始,世界范围内多国爆发新冠疫情,企业在家办公情加速了视频会议软件的发展,Zoom 无疑是其中发展势头最猛,也最具争议性的一个。

    HyperAI超神经
  • 如何在 Ubuntu 20.04 上安装 Zoom

    本文最先发布在: https://www.itcoder.tech/posts/how-to-install-zoom-on-ubuntu-20-04/

    雪梦科技
  • 超50万个Zoom账户在暗网出售,1块钱买7000个

    新冠流行爆发后,全球范围内大多数公司的员工只能在家远程工作,用视频会议来保持业务运转,所以各视频会议平台使用量激增。

    新智元
  • Zoom承认将用户数据误传中国,被质疑是“一家拥有中国心的美国公司”

    “Zoom表示,“在匆忙中,我们错误地将我们的两个中国数据中心添加到一个冗长的备份网桥白名单中,这可能使非中国客户在极其有限的情况下连接到了中国服务器(即当主要...

    数据猿
  • 曝出漏洞、企业禁用、紧急声明:Zoom 一周里经历了什么?

    内容概述:新冠肺炎疫情爆发以来,视频会议软件获得了飞速增长,其中 Zoom 更是以出色的体验和扎实的服务,收割全球用户。但在近期,不断有关于 Zoom 的安全问...

    HyperAI超神经
  • Zoom将向所有用户开放端到端通话加密功能,下个月测试版开始启用

    当地时间周三,Zoom宣布从下个月的测试版开始,所有用户都可以启用端到端通话加密功能,此前该功能仅仅对付费的企业用户开放。

    镁客网
  • Zoom客户端漏洞允许黑客窃取用户Windows密码

    Zoom开发至今,已经九年了。在冠状病毒流行期间,人们迫切需要一个易于使用的视频会议应用程序,因此,Zoom在一夜之间成为数百万人所青睐的工具。

    FB客服

扫码关注云+社区

领取腾讯云代金券