域名频道资讯站
我们一直在努力制造惊吓

被美指为中国实体 Zoom宣布中国境外数据永不进中国

由于新冠疫情,视频会议平台Zoom迎来高光时刻。

Zoom CEO、美籍华人袁征4月1日发文说,Zoom产品日活用户从2019年12月的1000万人激增到3月份的2亿人。

但Zoom随后被曝出现多个安全和隐私问题,引发不少大机构客户纷纷弃用。据报道,中国台湾、澳大利亚和德国禁止地方行政机关使用Zoom;美国纽约州禁止学校采用Zoom远程教学;美国参议院、NASA、马斯克的SpaceX公司、谷歌、西门子、渣打银行等机构也禁止员工在工作和/或私人场合使用Zoom。

Zoom目前被披露的安全隐患主要在三个方面:

首先,由于Zoom默认设置都是以方便用户无需学习就加入会议为目的,这为无关人士擅闯会议偷听或捣乱敞开了大门。这一行为也被称为“Zoom炸弹”(zoombombings)。

其次,当用户在安装或每次打开iOS版本的Zoom App时,Zoom都会收集其用户的个人信息,并在未经充分通知或授权的情况下,将这些个人信息泄露给第三方——Facebook公司。

再次,有研究发现,美国用户和加拿大用户发起的视频通话,会议内容的加密和解密密匙是由北京Zoom服务器发出的。简单地说,也就是“两个北美人用Zoom视频聊天,中国还需要北京的服务器插手”。

由于Zoom的创始人的身份为华人,第三个质疑在美国格外突出。美国众议院议长南希·佩洛西近日在美国国会回答问题时甚至表示,Zoom是一家“中国实体”(a Chinese entity),所以具有安全隐患。

Zoom近期针对上述三项质疑已采取了技术补救,尤其针对美国国内对其数据跨境流动的质疑,近日Zoom在国内一家授权服务商官网发布消息称,从4月18日开始,每个付费的Zoom客户都可以选择加入或退出特定的数据中心区域。

“免费用户将被锁定在其帐户所在的默认区域内的数据中心。对于我们大多数的免费用户来说,这就是美国。中国境外免费用户的数据将永远不会通过中国传送。”

Zoom在国内另一家授权服务商的工作人员向21世纪经济报道记者证实了这一消息,但表示国内Zoom用户不必担心自己的信息违规流动至国外。

Zoom是一家“中国实体”?

Zoom数据跨境流动风险原因是用户的爆炸性增长。

在多伦多大学的Citizen Lab实验里,他们研究的时候发现,美国用户和加拿大用户发起的视频通话,会议内容的加密和解密密匙是由北京Zoom服务器发出的。

据国内媒体报道,考虑到Zoom在中国注册了3家公司,苏州有700多名开发人员,故而该家实验室认为通过Zoom视频通话的用户,其内容也很容易被中国获取。

但一名技术人员告诉记者,“Zoom采取分布式存储,如果这台服务器人数满了以后,肯定要找一台空闲的。”

目前,Zoom的数据中心分布在美国、加拿大、欧洲、印度、澳大利亚、中国、拉丁美洲、日本等地。

Zoom创始人、CEO袁征在一封公开信里也做出了解释,袁征表示北美用户的视频通话都是中途绕道中国,因为倘若用户附近的服务器太拥挤了,软件就会去尝试连接新的备份服务器,这样才真正连到了中国的服务器上了。

Zoom即将对此进行技术补救。Zoom在国内一家授权服务商官网4月17日发布一篇消息称:

从4月18日开始,每个付费的Zoom客户都可以选择加入或退出特定的数据中心区域。

从4月18日开始,对于传输中的数据,Zoom管理员和付费帐户的帐户所有者可以在帐户,组或用户级别选择退出特定数据中心区域;选择加入特定的数据中心区域;无法更改或选择退出默认区域,该区域将被锁定。默认区域是提供客户帐户的区域。对于大多数客户来说,这就是美国。

这篇文章还针对中国服务器拿出了举措:

免费用户将被锁定在其帐户所在的默认区域内的数据中心。对于大多数的免费用户来说,这就是美国。中国境外免费用户的数据将永远不会通过中国传送。

对于居住在中国的用户,如果帐户管理员到4月25日仍未选择进入中国数据中心,则帐户将无法连接到中国大陆数据中心进行数据传输。

提醒一下,中国的会议服务器始终处于防御状态,目的是确保中国境外用户的会议数据不位于中国境外(注:原文如此)。4月3日,删除了中国所有的HTTPS隧道服务器,以防止通过中国的任何意外连接。

“因为Zoom的创始人是华人,在美国国内不容易被接纳,碰巧又发生了美国用户接入中国服务器的事情,因此发出了这个通知,实际上这是针对国外用户的。”Zoom在国内一家授权服务商工作人员告诉21世纪经济报道。

近日有媒体报道,美国众议院议长南希·佩洛西在美国国会回答问题时表示,Zoom是一家“中国实体”(a Chinese entity),所以具有安全隐患。

但随后,媒体称,Zoom成立于2011年,自2011年4月21日起在特拉华州注册成立。Zoom公司创始人兼首席执行官袁征在1997年从中国移民至美国,此后成为美国公民。

国内用户不必担心数据外流

数据跨境流动的风险其实是多方的,中国用户是否担心自己的数据流出国内服务器?

尤其是上述通知也意味着,从4月18日开始,中国大陆的付费Zoom客户也可以选择加入或退出特定的数据中心区域。

“这对国内用户不是问题,因为我们服务商已经根据中国法律为用户设定好了数据中心区域,即国内的服务器。”上述工作人员说。

通知还指出,对于居住在中国的用户,如果帐户管理员到4月25日仍未选择进入中国数据中心,则帐户将无法连接到中国大陆数据中心进行数据传输。

“这可能意味着,如果国内用户不选择进入Zoom的中国数据中心,Zoom就不再提供数据传输服务了。”浙江垦丁律师事务所主任张延来说。

《网络安全法》第三十七条规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。

“应该说绝大部分用户都会担心自己的数据外流,我国《网络安全法》也规定了跨境数据传输需要提前进行安全评估,这里的数据主要是只涉及到个人信息或者其他重要数据,Zoom视频会议中的数据我认为就属于这类数据。”张延来告诉21世纪经济报道。

排除Zoom炸弹

Zoom另外的安全问题是容易被骚扰和收集分享用户个人信息。

据报道,在一场通过Zoom进行的关于新型冠状病毒将如何影响K-12教育政策的网络研讨会上,参会者的屏幕上突然出现了大量色情和种族诽谤图片。当时,主持人关掉了视频,但仍无济于事,音频后来也被不明人士控制。

这种经历被称为“Zoombombing”(Zoom炸弹),即不明身份的人对网络视频会议进行恶意攻击,控制音频和视频,以及播放不当材料和评论。

袁征在公开信里称,Zoom最初将未经邀请的参会者称为“不速之客”。鉴于此后出现了更严重、更可恶的攻击类型,这个术语显然已不足以满足要求。严厉谴责各类攻击,并对因此打断会议的所有用户深表同情。

这样的安全事件与Zoom的产品特性有关。安排Zoom会议时,主持人只需与参会者共享一条URL,学生不需要注册Zoom账号即可加入。

“Zoom炸弹从技术原理上看是指zoom的会议id过短,任何人可以通过挨个尝试的方式加入会议室。这样的技术处理确实跟Zoom之前追求极简易用的产品理念有关,当然用户自己的使用不当(例如没有将会议设置为隐私状态等)也是导致出现信息泄露的原因。”张延来告诉21世纪经济报道。

目前,Zoom采取了一些技术补救措施,比如对于会议和网络研讨会,帐户所有者和管理员可以配置极低会议密码要求,以调整极小长度,并要求字母,数字和特殊字符。默认情况下,所有免费的Basic帐户都将启用字母数字选项。用于新安排的会议和网络研讨会的一次性随机生成的会议ID将为11位数字,而不是9位数字等。

修补第三方SDK

Zoom的隐私漏洞体现在,当用户在安装或每次打开iOS版的Zoom App时,因为内嵌了Facebook的SDK问题,无论使用Zoom的用户有没有注册Facebook账户,Zoom内嵌的这个SDK都会向Facebook传递用户的手机型号、时区、所在城市、运营商以及广告唯一标识符等信息。

而Zoom的隐私政策却没有明确描述如何使用第三方SDK的内容。

Zoom随后采取了一些举措,3月27日,删除了iOS客户端中的Facebook SDK,并重新对其进行配置,以防止其从用户那里收集不必要的设备信息。

3月29日,更新了隐私政策,使收集的数据以及如何使用这些数据更加清晰透明,并明确表明不会出售用户数据,过去从未出售过用户数据,未来也无意出售用户数据。

在这次疫情期间,作为办公软件领域的头部企业,Zoom是名副其实的超级明星股。自今年1月底以来,Zoom的股价从76美元左右飙升到3月30日收盘的151美元。即便中间经历了3次美股熔断,这位美股市场的明星仍然在两个月时间里市值翻了一倍。

但出现安全问题后,半个多月以来,Zoom的股价持续徘徊在这一水平,4月17日收盘价为150.06美元。

被美指为中国实体 Zoom宣布中国境外数据永不进中国

本文素材来自互联网

赞(0)
分享到: 更多 (0)

中国专业的网站域名及网站空间提供商

买域名买空间