Zoom惨遭集体声讨?企业如何多维度着手保护数据安全?

事件回顾:Zoom的一朝爆火到惨遭群嘲

席卷全球的新冠肺炎疫情让视频会议需求暴涨,云视频会议应用Zoom的用户量也因此激增。据公开资料显示,Zoom日活量一度突破2亿,而这一数字在去年12月底还仅为1000万左右,与去年年底相比翻了20倍。

但近日,Zoom却被爆出存在严重的隐私安全漏洞,包括用户隐私被泄露给Facebook等“巨头”,最直观的负面结果是其还造成了目前至少15000名用户视频记录被公开在网上,所有人都可以点击观看。

一时间,Zoom的安全和隐私问题引起了全球知名科技媒体、企业和机构(Wired、Intercept、Motherboard、Krebs、Citizen Lab、特斯拉、NASA等等)集体声讨。

Zoom做错了什么?

产品功能侵犯用户隐私。未告知用户便向Facebook发送用户数据,还会泄露姓名、头像和邮箱地址给陌生人。

夸大产品安全功能。远程办公软件需提供加密,而这当中最安全的方式是端到端加密,这也是许多聊天软件都在使用的加密方式,但Zoom最大的问题并非没有采用端到端加密,而是并未在全部视频会议中开启这种加密防护,却过分强调它的功能,对用户隐瞒了安全隐患。

摄像头后门。去年,一位研究人员发现Mac Zoom Client中的漏洞允许任何恶意网站未经许可就启用相机。EPIC 对此提出FTC投诉指控说“Zoom设计了其服务来绕过浏览器安全设置,并在用户不知情或未同意的情况下远程启用用户的网络摄像机”。Zoom去年修补了此漏洞。

Zoombombing现象。Zoom会议ID很容易猜测,加入在线会议session也无需更多认证,任何人都可以通过遍历或者猜测闯入一个在线会议——事实上,曾有不速之客突然加入会议,进行大声叫嚣,或分享色情内容或种族主义言论。

Zoom表示在3月27日,已删除相关SDK,并重新对其进行配置,以防止其从用户那里收集不必要的设备信息。

3月29日,又更新了隐私政策,让数据收集、使用更透明,不会挖掘用户数据或向任何人出售任何用户数据。

4月1日,Zoom公司在其官网博客上进行了道歉,并更正和澄清其端到端加密(End-of-end encryption)。

4月2日,Zoom公司宣布会在未来的90天冻结软件新功能(features)的发布,用这个时间来解决平台可能存在的隐私和安全问题。

4月5日或更早,Zoom软件默认要求使用会议密码,默认不允许主持人以外的任何人进行视频分享。Zoom同时也发布了如何避免Zoombombing的说明。

由Zoom引出的隐私安全问题和对策

Zoom事件一出,大众对远程办公软件用户隐私、数据安全等问题担忧更盛。于企业而言,远程办公期间,数据“上云”后,也面临着数据本身的安全性、用户与平台之间的信任、数据的自主可控性等安全需求。

保护隐私安全、数据安全,润成安全信息安全工程师给您以下建议。

面对数据安全风险,企业应从技术层面和管理层面多维度着手:

在技术层面,要做好隐私基准评估、隐私数据识别、数据监控扫描、数据加密、安全存储,通道加密、传输行为审计,数据脱敏,数据锁等多方面工作,了解隐私数据的红线在哪里,统计网络行为模型,实时监测是否有黑客入侵偷取数据;

另外,在管理层面则应该着眼于数据安全,要设立多个数据安全保护管理员,或安排专业技术团队保障数据安全。同时还要建立好攻防对抗的机制,通过攻防对抗检验系统安全性,通过了解黑客的攻击方法和技术手段更好的保障系统数据安全。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20200410A0695900?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券