小茶郭一璞来自奥飞寺
量子比特报告| 公众号QbitAI
Zoom 是一家目前处于前沿的公司。
疫情一袭,用户数和股价猛涨,但问题应该不会太频繁地出现。
一方面陷入隐私泄露危机,另一方面又因为中国公司和服务器的存在而受到质疑。
然而,使用Zoom的用户似乎更糟糕。 昨晚,有媒体爆料,53万个Zoom账户密码在暗网上公开出售,而且价格极其便宜。 一个账户只卖了0.002美分,总共才10美元左右。
换算成人民币,一个账户约为0.00014元,1毛钱可以买71个。
要知道,开通 Zoom 会员,一个账户每月需要花费 19.99 美元(140 元人民币)! 注意,这个价格不是年费,而是月费,比视频网站外卖网站贵很多很多倍。
而且,这些公开出售的账户很多来自花旗银行、佛罗里达大学等知名机构。
不过,消息曝光后,Zoom股价大幅上涨。
对于这些用户来说确实很难。 它不容易使用,而且他们别无选择。
撞库获取53万账户密码
用户账户密码泄露的消息来自网络安全公司Cyble。 该公司每天都在监控暗网,以查明其客户信息是否被泄露或账户被盗。
这次,Cyble 发现有人开始在黑客网站上出售 Zoom 帐户,共有 53 万个帐户。
除了出售的零部件外,黑客还挑选了290个“试用包”免费发布。 这些账户来自佛蒙特大学、科罗拉多大学和佛罗里达大学等许多大学。
△“试装”账号
美国媒体BleepingComputer联系了一些被免费曝光的用户软件加密保护,发现很多数据都是正确的,并且一名用户表示密码是他之前使用的旧密码。
这也意味着根源就是——撞库。
说白了,在之前的账号密码泄露事件中,黑客自己收集了一批账号密码,然后在Zoom上一一尝试,然后将成功的账号密码以单独的形式出售。
这非常尴尬。 53万个账户,黑客肯定不会一一手动复制粘贴来登录,这个过程必须是自动的。 然而,成功的撞库事件意味着Zoom可能没有采取足够的保护措施。
Cyble 购买了这 530,000 个帐户,并用它们来警告用户帐户泄露的风险。
购买价格为每个0.002美分,总成本仅为10.6美元,74元人民币。
价格也不贵,估计赚不了多少钱。 Cyble 表示,黑客张贴这些主要是为了炫耀——让他们看起来很强大。
他们发现每个帐户的泄露信息包括电子邮件、密码、个人 URL 和 HostKey(用于作为会议主持人管理会议的六位数 PIN)。
而且,从域名来看,这些用户包括摩根大通旗下的大通银行、花旗银行,以及一些教育机构等知名企业或机构。
如果银行账户泄露,不知道会泄露多少秘密。
那么就是这样,Zoom知道吗? 怎么说?
Zoom:我们肯定会改变,但我们必须为此付出代价
不仅密码被盗,Zoom的服务器地址也被诟病。
多伦多大学此前发现,有几个使用Zoom的人明显在北美,但会议数据却要经过中国服务器。
此外,会议密钥是在中国的服务器上生成的。
想象一下,如果中国人在国内开会,但所有的数据都经过美国,而且密钥也是在美国生成的,难免会让人产生怀疑,那么用户当然会退出。
在外界的质疑声中,Zoom无奈添加了允许用户随意选择服务器的功能。 前提是他们必须付出代价。 免费用户仍然没有选择权。
至于为何使用中国服务器,Zoom CEO袁征也公开解释称,由于新冠疫情,用户数量激增。 去年12月,日活用户数仅为1000万。 今年3月份,已经增长到2亿,需要大量额外的服务器。
这就是为什么Zoom不得不选择中国的服务器,因为没有考虑到地理因素,有些会议可能会链接到中国的服务器。
但现在网友们已经等不及这种解决问题的进展了。
他们已经在为 Zoom 提供“抄作业”的参考。
网友:抄开源软件的作业
由于使用高级功能需要支付更多费用,因此只会让部分用户流失。 Zoom不安全也不免费,所以找一个更安全的免费软件来替代它。
国外饱受Zoom之苦的网友推荐使用开源软件Jitsi Meet,不仅免费而且更安全。 更重要的是,让Zoom看看一个免费软件是如何做加密的,Zoom应该学习。
与其他视频会议软件一样,Jitsi Meet 用户只需共享 URL 即可组织视频会议。
但与 Zoom 不同的是,如果只知道这个 URL,就无法入侵会议现场,打开后只会看到一片片“雪花”。
这是因为您没有端到端密钥。 加入会议的唯一方法是拥有端到端密钥的特权。 然后在URL后面添加一个key就可以看到其他同事了。
每个人的钥匙都不一样。 根据参加会议的人数,有几组密钥。 视频内容在本地进行加密和解密。
以上只是官方演示。 考虑到浏览器记录可能会泄露你的密钥,Jitsi 接下来会考虑使用新的算法来处理密钥交换和管理,以进一步提高安全性。
Jitsi Meet 并不是后续者,谈到历史,Zoom 不得不称其为前者的老大哥。
Zoom 2011 年才成立,而 Jitsi Meet 早在 2003 年就已经存在。它最初是斯特拉斯堡大学博士生 Emil Ivov 的项目。
△埃米尔·伊沃夫
是的,这个斯特拉斯堡就是《白色专辑》的诞生地。 不知道袁征是不是看到了埃米尔·伊沃夫,问道:“你怎么这么熟练?”
由于近期疫情以及Zoom无法使用,Jitsi Meet开源项目再次火爆,GitHub上的活跃度在短短几天内大幅增加。
真的是 Emil Ivov 和一群网友用他们娴熟的手艺教会了袁征如何制作软件。
请求帮忙
然而,Zoom能否在短时间内修复安全漏洞呢?
看来很难。
但更困难的是疫情期间将Zoom等视频会议视为迫切需求的企业和用户。
比如在量子位,我们的编辑部离不开Zoom,但现在每天都看到、听到这样的隐私安全漏洞,怎么能安心呢?
如今,想要起步确实很难。 Zoom存在隐私和安全问题,但其流畅度、用户体验、跨境远程协作都非常好。 要“迁移”,就必须找到具有相同体验且安全性更好的软件。
那么您的公司使用什么视频会议软件,您想投诉什么? 欢迎投票和参与:
补充一下,谢谢~~
作者为网易新闻·网易账号“每个人都有自己的态度”签约作者
-超过-
2020年是天文学的大年,4月8日将出现一年中最大的超级月亮,6月将出现日环食,8月将出现英仙座流星雨,10月将出现两年一次的火星冲日。 十二月有双子座流星雨。
我们邀请了国家地理的中国探险家刘云和天文爱好者组成了天文航天亲子社区。 除了交流天文和航天知识外,团体还将组织一系列讲座、线下观星、航天探索活动。 。
如果你家里有也喜欢天文航天的孩子,我们一起来玩吧:
天文航天亲子社区招募中,快来一起玩吧~
关注人工智能发展现状软件加密保护,抓住行业发展机遇
量子比特 QbitAI·今日头条签约作者
̾'ᴗ' ̫ 追踪AI技术和产品新进展
喜欢的话就点击“观看”吧!
