新冠状病毒(COVID-19,俗称新冠肺炎)让远程办公、聚会的需求直线攀升,企业通信Zoom也因此成为时下新宠儿,然而随着大量用户涌入,也导致这项服务被黑客们盯上,目前已有超过50万个账号信息被放在暗网兜售。
安全公司Cyble关注到一名黑客,大约从4月起开始在黑客论坛提供免费Zoom账户资料,例如佛蒙特大学、佛罗里达大学等290个院校相关账号公开其余黑客使用。
另外,Cyble还发现有超过53万个Zoom账号资料被放上架兜售,每个账号价格甚至不到一美分。Cyble尝试买下所有账号,结果一个平均下来只要0.002美元。
安全公司在暗网上发现数十万个Zoom账号,并以非常低廉的价格出售。
购买后取得的账号资料包括电子邮箱、密码、主持人密钥(hostkey)及个人会议连接。这些资料是黑客利用密码填充攻击(credential stuffing attacks)所取得。
所谓密码填充攻击也就是暴力式破解,黑客会利用自动化系统不断输入帐密组合尝试,直到成功登录为止。因此设置一个足够复杂的密码,在个人账号安全上仍是必要的。
据悉一部分密码已经过时,所以实际能登录的账号只有少部分,但这对其余Zoom用户来说,仍是一个安全威胁的警讯:黑客已经盯上你。专家也呼吁Zoom用户应重新设置更复杂的密码,同时尽量避免一个密码多账号通用。
疫情带来高增长,安全、隐私疑虑陆续曝光
持续升温的疫情,为Zoom带来史无前例的增长,活跃用户数在短短几个月从1,000万人暴增至2亿人,却也令这间原先专注在企业视频会议的公司陷入困境。50万个账号被放上网出售,并非Zoom这段时间唯一的丑闻。
在安全及隐私方面的疑虑也层出不穷,外媒《Motherboard》指出,iOS版Zoom会在没有告知用户的情况下,径自将用户数据传输给Facebook;也有其他媒体发现,尽管Zoom声称使用点对点加密保障用户资料,实际上却没有做到。
安全研究人员沃德尔(Patrick Wardle)也披露,Zoom系统存在的漏洞让黑客可以控制镜头画面,甚至发送恶意程序至用户计算机。糟糕的是,有教师在远程授课时遇到不明人士乱入课程,发送色情内容搅乱课堂。纽约市学校、新加坡都因此禁止老师使用Zoom教课。
去年上市的Zoom因疫情涌入大量用户,导致股价与今年初相比增长近一倍。然而随着用户数暴增,各种安全、隐私上的疑虑也渐渐曝光。
Zoom随后也立刻出面道歉,更新服务停止向Facebook发送数据;产品经理盖尔(Oded Gal)在4月初坦承,“虽然我们从没打算欺骗用户,但我们必须承认,一般认定的点对点加密和我们所使用的有一定差异。”
另外,所有Zoom会议也自动添加密码,并更改默认的屏幕分享设置,让有心人更难以捣乱。创办人袁征表示,安全性与便利间存在拉扯,“现在是时候重新审视之间的平衡了。”
从Zoom快速的行动看来,他们有心想挽回用户的信赖。但要避免黑客找上门,除了官方必须弭平漏洞外,用户自身也得维持良好的安全习惯,否则不只是Zoom,可能各个网络账号都会暴露在被盗窃的风险之中。