Zoom為何從科網新寵，變成深陷資安醜聞的眾矢之的？- 方展策

在新冠肺炎疫情下，遠距工作與網上教學已成為上班族與學生們的日常作息常態，因而令視像會議軟件的需求大增，其中以Zoom最受歡迎，其用戶人數在疫情期間暴増20倍，達至2億之數！但隨著大量用戶湧入，Zoom卻接連被爆出存有資訊安全漏洞，不但遭多國政府部門和大型企業棄用，更要面對多宗法律訴訟，彷彿一下子從天堂跌落到地獄。到底該公司出了甚麼問題呢？

其實，市面上不乏視像會議軟件，當中更有科技巨擘的出品如Google Meet、Microsoft Teams等，為甚麼爆紅的是Zoom呢？只因Zoom使用起來真的非常方便。會議主持人只需向參與者發送一個簡單的連結，點一下連結即可進入會議；又或者發給參與者一組會議ID編號，輸入後就可參與會議。

如此便利的操作方式，自然吸引了一大群因疫情而初次接觸視像會議的人嘗試採用；加上Zoom把免費版本只限40分鐘內10人與會的規定放寬到100人，如是學校用戶的話，更不設40分鐘限制，結果令Zoom火速爆紅起來。除網上授課外，還有人透過Zoom舉行生日會、音樂會、宗教聚會，甚至葬禮等。

不過，便利操作背後卻隱藏了資安問題。Zoom的會議連結或ID很容易被黑客截取，進而闖入會議騷擾與會者，造成一連串「Zoom轟炸（Zoombombing）」事件。較早前，新加坡一群女學生透過Zoom上地理課時，畫面突然顯示猥褻圖像，並有一名奇怪男子叫女同學展示私人部位，致使新加坡教育部一度叫停Zoom教學。

更嚴重的是，Zoom自3月下旬起屢被揭發存有不同的保安漏洞，爆發用戶私隱洩漏危機。3月26日，科技網站Motherboard爆料指，iOS版Zoom軟件在用戶不知情下，將其個人資料傳送給Facebook。

3月31日，網絡安全公司VMRay的研究人員指出，Mac版Zoom軟件在不需用戶作最後確認的情況下，便會自行將軟件安裝到Mac機，做法近似惡意程式。另一網名為「Objective-See」的資安研究人員亦發現，Mac版Zoom軟件竟可偷偷存取Mac機的視像鏡頭和收音咪。新聞網站The Intercept更揭露，Zoom宣稱軟件提供的端對端加密技術，原來僅應用在文字通訊上，視像和聲音通訊反而沒有。

加拿大多倫多大學網絡研究機構「公民實驗室（Citizen Lab）」於4月3日發表的研究報告，更對Zoom帶來沉重打擊。Citizen Lab指出，Zoom宣稱軟件採用AES-256加密算法，但測試後發現只是用上規格低一級的AES-128加密金鑰，同時更是在安全性較差的ECB電子密碼本模式下執行。該實驗室又發現，即使Zoom用戶身處北美地區，加密金鑰有機會經由中國的伺服器產生與傳送。因此，Citizen Lab建議，如會議內容涉及高度機密資料，不宜使用Zoom。

面對各方指摘，Zoom創辦人暨執行長袁征也心知不妙，多次親自出面撲火。4月1日，他在官方網誌上親自道歉，承諾在90天內暫停開發新功能，將所有資源調撥至修補資安漏洞。Citizen Lab報告發表後，袁征又即日在網誌上解釋，為應付近期暴增的用戶量，匆忙中「錯誤地」將2個位於中國的數據中心加入到備用伺服器名單，以致出現美國服務連線至中國伺服器的情況，現已修復問題。

儘管袁征積極表現出坦承錯誤的態度，惟對Zoom的不信任已在全球各處遍地開花。美國太空總署、英國國防部、澳洲國防部、德國外交部、台灣政府機構均嚴禁部門人員使用Zoom。私人企業方面，Google母公司Alphabet禁止員工在公司電腦使用Zoom；電動車廠商Tesla與航太科技公司SpaceX也不准員工再用Zoom；更有消息指，渣打銀行以網絡安全為由，已要求員工停用Zoom。

有見及此，Zoom遂宣布成立資訊安全長會議及顧問委員會，找來Netflix、Uber等多家公司的資訊安全長擔任成員，又招攬Facebook前資訊安全長史塔莫斯（Alex Stamos）出任外部資安顧問，以挽回用戶信心。

可是，令用戶難以繼續信任Zoom的狀況，卻又持續發生。以色列網絡安全公司Sixgill發現，有黑客於4月1日在暗網（dark web）討論區貼出352個Zoom帳戶的名單。另一家網絡安全公司Cyble亦追蹤到一名黑客，自4月起在黑客論壇張貼Zoom帳戶資料，包含佛羅里達大學、佛蒙特大學等290間院校的用戶電郵地址與密碼。Cyble更發現，有逾53萬個Zoom帳戶資料在論壇上開賣，於是嘗試買下所有資料，最終以每個帳戶0.002美元（約0.016港元）的價格成功購入，當中竟然有摩根大通、花旗銀行等金融機構的用戶資料。

除此以外，Zoom還要被多宗官司纏身。美國加州已有首宗基於《消費者私隱法案》，控告Zoom對用戶私隱保護不周的訴訟。另外，Pomerantz律師事務所宣布代表Zoom股東向該公司及部分高層提出集體訴訟，認為Zoom誇大產品的私隱保護標準，隱瞞軟件本身設計漏洞，結果被傳媒揭發後公司股價大跌，故此要求賠償。

Zoom的成功之處在於軟件操作簡單便利，有效簡化繁複的視像會議作業流程，但也因為過於專注便利性，以致忽略了產品安全性。袁征也承認，安全性與便利性之間可能存有矛盾，更坦言：「或許是時候重新審視這一點了。」這究竟會是「亡羊補牢，未為晚也」，還是「覆水難收，無以為繼」呢？Zoom往後如何走下去，還有待觀望。

原文：經濟通

#科技 #社會 #商業 #生活

💡《什麼是 Azure 資訊保護？》

Azure Information Protection (AIP) 是 Azure RMS所使用的保護技術。此雲端服務使用加密、身分識別及授權原則來協助保護您的檔案和電子郵件。

Azure Information Protection (AIP) 是 Azure RMS所使用的保護技術。此雲端服務使用加密、身分識別及授權原則來協助保護您的檔案和電子郵件，並且可在多個裝置 (Windows、Mac OS、iOS、Android 及 Windows Phone 等熱門終端使用者裝置)中運作。資訊在組織內外同樣都會受到保護，因為資料的保護如影隨行，即使資料離開組織範圍也不例外。

例如，員工可能會透過電子郵件傳送文件到夥伴公司，或將文件儲存到其雲端磁碟。AIP 提供的持續性保護不僅可以協助您保護公司資料的安全，還可依法律規定，滿足合規性和法定開示要求，或者單純用來實踐優質的資訊保護。。Azure Information Protection (AIP) 資訊保護作業流程圖如下：

Azure RMS 服務不會在資訊保護程序中查看或儲存您的資料，您所保護的資訊永遠不會傳送至或儲存在 Azure 中， Azure RMS 只是讓授權使用者和服務以外的任何人都無法讀取文件中的資料：
• 資料會在應用程式層級加密，並包含一個原則來定義該文件的授權使用。
• 當合法使用者使用受保護的文件或由已授權的服務進行處理時，文件中的資料會解密並強制執行原則中定義的權限。

您可以在下圖中看到這個程序的運作方式。包含密碼公式的文件會受到保護，並由授權的使用者或服務成功開啟。 此文件受內容金鑰 (此圖中的綠色金鑰) 保護。每份文件的內容金鑰都是唯一的並放置在檔案標頭中，由 Azure 資訊保護租用戶根金鑰 (此圖中的紅色金鑰) 所保護。租用戶金鑰可以由 Microsoft 產生和管理，您也可以產生和管理自己的租用戶金鑰。在 Azure RMS 進行加密和解密、授權以及強制執行限制的保護程序中，密碼公式永遠不會傳送至 Azure。

Azure資訊保護(AIP)解決方案優點如下：
協助企業使用者達到自動分類、標記及保護其文件和電子郵件。
隨時隨地保護企業文件，讓企業有條件和安全的與他人共用文件。
對於受保護的文件，讓企業管理者能隨時稽核與監視文件使用情況。
讓使用者和系統管理員追蹤並視需要撤銷對受保護文件的存取權。

更多內容請見零壹科技網站 http://www.zerone.com.tw/MK_ProSolve-detail.aspx?Nid=41

[即時新聞] 美國對中國反恐法案提出抗議

美國官員和企業團體對中國的反恐怖主義法草案提出抗議，稱該法將幫助北京獲得專有情報、或者將外國科技公司排擠出中國市場。

這份草案是外國科技公司在華面臨的最新挑戰。此前，隨著美國監聽別國情報的做法被曝光，中美兩國之間圍繞網絡安全的相互猜忌日益加重。調研公司Gartner Inc.去年6月曾經估算，2014年中國的團體在科技產品和服務上的花費將達到1,400億美元。

根據中國反恐法草案，國內外通信、互聯網服務提供商都必須在系統裡安置後門，給予當局以監控便利；同時還須上交加密密碼備份，當被問及時須協助政府部門解密 。此外，企業必須將中國用戶的數據儲存於設置在大陸的服務器內，否則就無法獲批在華經營。

華盛頓智庫Information Technology and Innovation Foundation負責人阿特金森(Robert Atkinson)表示，美國的科技公司將面臨非常艱難的選擇，因為他們不得不決定是否要留在中國、屈服於監管壓力。

據一位美國官員稱，美國政府要求中國政府解決本月早些時候在一封信函中提到的問題。這位官員稱，這份信函由美國國務卿凱瑞(John Kerry)、美國財政部長雅各(Jacob Lew)、美國商務部長普里茨克(Penny Pritzker)以及貿易代表弗里曼(Michael Froman)聯名簽署。中國官員沒有回應記者的置評請求。

蘋果(Apple Inc.)、微軟(Microsoft Corp.)等一些在中國擁有龐大業務的科技公司均拒絕就此置評。LinkedIn In.、三星電子(Samsung Electronics Co.)等一些公司沒有回應記者的置評請求。

中國立法機構全國人大常委會正在審議反恐法草案。十二屆全國人大第三次會議本週四將開始舉行。全國人大常委會本週在其網站上表示，反恐法草案進入二審，在草案一審稿關於公安機關、國家機關使用電信和互聯網技術的規定中，增加“經過嚴格的審批手續”的規定。

美國官員和商業團體指出，中國許多政策可能損害他們在中國技術市場的利益，這項草案是其中之一。他們還對一項擬定中的中國銀行業技術新規提出抗議。美國和歐洲的商業組織表示，新規將要求他們轉讓專有技術，具有過度侵入性。美國貿易代表弗里曼上週五批評中國銀行業技術新規違反貿易承諾。中國銀監會表示，在實施上述新規前會考慮各方意見。

轉自BBC
http://www.wsj.com/…/us-presses-china-on-bank-technology-ru…