Zoom惨遭集体声讨？企业如何多维度着手保护数据安全？

事件回顾：Zoom的一朝爆火到惨遭群嘲

席卷全球的新冠肺炎疫情让视频会议需求暴涨，云视频会议应用Zoom的用户量也因此激增。据公开资料显示，Zoom日活量一度突破2亿，而这一数字在去年12月底还仅为1000万左右，与去年年底相比翻了20倍。

但近日，Zoom却被爆出存在严重的隐私安全漏洞，包括用户隐私被泄露给Facebook等“巨头”，最直观的负面结果是其还造成了目前至少15000名用户视频记录被公开在网上，所有人都可以点击观看。

一时间，Zoom的安全和隐私问题引起了全球知名科技媒体、企业和机构（Wired、Intercept、Motherboard、Krebs、Citizen Lab、特斯拉、NASA等等）集体声讨。

Zoom做错了什么？

产品功能侵犯用户隐私。未告知用户便向Facebook发送用户数据，还会泄露姓名、头像和邮箱地址给陌生人。

夸大产品安全功能。远程办公软件需提供加密，而这当中最安全的方式是端到端加密，这也是许多聊天软件都在使用的加密方式，但Zoom最大的问题并非没有采用端到端加密，而是并未在全部视频会议中开启这种加密防护，却过分强调它的功能，对用户隐瞒了安全隐患。

摄像头后门。去年，一位研究人员发现Mac Zoom Client中的漏洞允许任何恶意网站未经许可就启用相机。EPIC 对此提出FTC投诉指控说“Zoom设计了其服务来绕过浏览器安全设置，并在用户不知情或未同意的情况下远程启用用户的网络摄像机”。Zoom去年修补了此漏洞。

Zoombombing现象。Zoom会议ID很容易猜测，加入在线会议session也无需更多认证，任何人都可以通过遍历或者猜测闯入一个在线会议——事实上，曾有不速之客突然加入会议，进行大声叫嚣，或分享色情内容或种族主义言论。

Zoom表示在3月27日，已删除相关SDK，并重新对其进行配置，以防止其从用户那里收集不必要的设备信息。

3月29日，又更新了隐私政策，让数据收集、使用更透明，不会挖掘用户数据或向任何人出售任何用户数据。

4月1日，Zoom公司在其官网博客上进行了道歉，并更正和澄清其端到端加密（End-of-end encryption）。

4月2日，Zoom公司宣布会在未来的90天冻结软件新功能（features）的发布，用这个时间来解决平台可能存在的隐私和安全问题。

4月5日或更早，Zoom软件默认要求使用会议密码，默认不允许主持人以外的任何人进行视频分享。Zoom同时也发布了如何避免Zoombombing的说明。

由Zoom引出的隐私安全问题和对策

Zoom事件一出，大众对远程办公软件用户隐私、数据安全等问题担忧更盛。于企业而言，远程办公期间，数据“上云”后，也面临着数据本身的安全性、用户与平台之间的信任、数据的自主可控性等安全需求。

保护隐私安全、数据安全，润成安全信息安全工程师给您以下建议。

面对数据安全风险，企业应从技术层面和管理层面多维度着手：

在技术层面，要做好隐私基准评估、隐私数据识别、数据监控扫描、数据加密、安全存储，通道加密、传输行为审计，数据脱敏，数据锁等多方面工作，了解隐私数据的红线在哪里，统计网络行为模型，实时监测是否有黑客入侵偷取数据；

另外，在管理层面则应该着眼于数据安全，要设立多个数据安全保护管理员，或安排专业技术团队保障数据安全。同时还要建立好攻防对抗的机制，通过攻防对抗检验系统安全性，通过了解黑客的攻击方法和技术手段更好的保障系统数据安全。