Zoom為何從科網新寵，變成深陷資安醜聞的眾矢之的？- 方展策

在新冠肺炎疫情下，遠距工作與網上教學已成為上班族與學生們的日常作息常態，因而令視像會議軟件的需求大增，其中以Zoom最受歡迎，其用戶人數在疫情期間暴増20倍，達至2億之數！但隨著大量用戶湧入，Zoom卻接連被爆出存有資訊安全漏洞，不但遭多國政府部門和大型企業棄用，更要面對多宗法律訴訟，彷彿一下子從天堂跌落到地獄。到底該公司出了甚麼問題呢？

其實，市面上不乏視像會議軟件，當中更有科技巨擘的出品如Google Meet、Microsoft Teams等，為甚麼爆紅的是Zoom呢？只因Zoom使用起來真的非常方便。會議主持人只需向參與者發送一個簡單的連結，點一下連結即可進入會議；又或者發給參與者一組會議ID編號，輸入後就可參與會議。

如此便利的操作方式，自然吸引了一大群因疫情而初次接觸視像會議的人嘗試採用；加上Zoom把免費版本只限40分鐘內10人與會的規定放寬到100人，如是學校用戶的話，更不設40分鐘限制，結果令Zoom火速爆紅起來。除網上授課外，還有人透過Zoom舉行生日會、音樂會、宗教聚會，甚至葬禮等。

不過，便利操作背後卻隱藏了資安問題。Zoom的會議連結或ID很容易被黑客截取，進而闖入會議騷擾與會者，造成一連串「Zoom轟炸（Zoombombing）」事件。較早前，新加坡一群女學生透過Zoom上地理課時，畫面突然顯示猥褻圖像，並有一名奇怪男子叫女同學展示私人部位，致使新加坡教育部一度叫停Zoom教學。

更嚴重的是，Zoom自3月下旬起屢被揭發存有不同的保安漏洞，爆發用戶私隱洩漏危機。3月26日，科技網站Motherboard爆料指，iOS版Zoom軟件在用戶不知情下，將其個人資料傳送給Facebook。

3月31日，網絡安全公司VMRay的研究人員指出，Mac版Zoom軟件在不需用戶作最後確認的情況下，便會自行將軟件安裝到Mac機，做法近似惡意程式。另一網名為「Objective-See」的資安研究人員亦發現，Mac版Zoom軟件竟可偷偷存取Mac機的視像鏡頭和收音咪。新聞網站The Intercept更揭露，Zoom宣稱軟件提供的端對端加密技術，原來僅應用在文字通訊上，視像和聲音通訊反而沒有。

加拿大多倫多大學網絡研究機構「公民實驗室（Citizen Lab）」於4月3日發表的研究報告，更對Zoom帶來沉重打擊。Citizen Lab指出，Zoom宣稱軟件採用AES-256加密算法，但測試後發現只是用上規格低一級的AES-128加密金鑰，同時更是在安全性較差的ECB電子密碼本模式下執行。該實驗室又發現，即使Zoom用戶身處北美地區，加密金鑰有機會經由中國的伺服器產生與傳送。因此，Citizen Lab建議，如會議內容涉及高度機密資料，不宜使用Zoom。

面對各方指摘，Zoom創辦人暨執行長袁征也心知不妙，多次親自出面撲火。4月1日，他在官方網誌上親自道歉，承諾在90天內暫停開發新功能，將所有資源調撥至修補資安漏洞。Citizen Lab報告發表後，袁征又即日在網誌上解釋，為應付近期暴增的用戶量，匆忙中「錯誤地」將2個位於中國的數據中心加入到備用伺服器名單，以致出現美國服務連線至中國伺服器的情況，現已修復問題。

儘管袁征積極表現出坦承錯誤的態度，惟對Zoom的不信任已在全球各處遍地開花。美國太空總署、英國國防部、澳洲國防部、德國外交部、台灣政府機構均嚴禁部門人員使用Zoom。私人企業方面，Google母公司Alphabet禁止員工在公司電腦使用Zoom；電動車廠商Tesla與航太科技公司SpaceX也不准員工再用Zoom；更有消息指，渣打銀行以網絡安全為由，已要求員工停用Zoom。

有見及此，Zoom遂宣布成立資訊安全長會議及顧問委員會，找來Netflix、Uber等多家公司的資訊安全長擔任成員，又招攬Facebook前資訊安全長史塔莫斯（Alex Stamos）出任外部資安顧問，以挽回用戶信心。

可是，令用戶難以繼續信任Zoom的狀況，卻又持續發生。以色列網絡安全公司Sixgill發現，有黑客於4月1日在暗網（dark web）討論區貼出352個Zoom帳戶的名單。另一家網絡安全公司Cyble亦追蹤到一名黑客，自4月起在黑客論壇張貼Zoom帳戶資料，包含佛羅里達大學、佛蒙特大學等290間院校的用戶電郵地址與密碼。Cyble更發現，有逾53萬個Zoom帳戶資料在論壇上開賣，於是嘗試買下所有資料，最終以每個帳戶0.002美元（約0.016港元）的價格成功購入，當中竟然有摩根大通、花旗銀行等金融機構的用戶資料。

除此以外，Zoom還要被多宗官司纏身。美國加州已有首宗基於《消費者私隱法案》，控告Zoom對用戶私隱保護不周的訴訟。另外，Pomerantz律師事務所宣布代表Zoom股東向該公司及部分高層提出集體訴訟，認為Zoom誇大產品的私隱保護標準，隱瞞軟件本身設計漏洞，結果被傳媒揭發後公司股價大跌，故此要求賠償。

Zoom的成功之處在於軟件操作簡單便利，有效簡化繁複的視像會議作業流程，但也因為過於專注便利性，以致忽略了產品安全性。袁征也承認，安全性與便利性之間可能存有矛盾，更坦言：「或許是時候重新審視這一點了。」這究竟會是「亡羊補牢，未為晚也」，還是「覆水難收，無以為繼」呢？Zoom往後如何走下去，還有待觀望。

原文：經濟通

#科技 #社會 #商業 #生活