諮詢預約 受惠於各國面對新冠肺炎疫情所採取之封城、居家防疫措施,遠距視訊要求興起,Zoom用戶線上人數從1月初的一千萬攀升至5月初的三億人次,股價也從2020年1月的70美元節節飆升。然而,一夕間的爆紅,也為Zoom帶來許多風波,用戶除了擔心會議資料是否會回傳中國,以及Zoom是否有進行點對點加密(end-to-end encrypted)外,更有用戶遇到不速之客亂入會議,甚至利用色情、仇恨言論干擾會議進行之Zoombombing情形。
為了因應各方之資安疑慮,2020年5月初,Zoom與紐約州檢察長Letitia James達成協議,根據該協議,Zoom將指定一資安長,負責執行資訊安全計畫(information security program),並施行風險評估,檢視軟體漏洞,以加強對於使用者隱私及資安之保護。此外,Zoom亦將藉由加密協定(encryption protocols)來增強用戶資訊的安全性,並將要求每個會議預設密碼,以控管進入會議之使用者。Zoom與紐約州檢察長達成之協議包括提供:
-
完整的資訊安全計畫:包括指示負責資安計畫的員工、實行風險管理計畫、資安程式碼審查等。
-
額外之資料安全作為:採用加密協定、採用合理措施以因應憑證填充攻擊、持續進行弱點管理計畫。
-
隱私控管:對於用戶之資安宣導教育、讓使用者得以控管其會議(例如預設密碼、使會議主辦人得控制由誰分享畫面、限制特定email網域始得加入會議等)。
-
保護用戶免於有心人士濫用:提供簡易之不當內容舉報管道、更新Zoom使用政策,並再次強調禁止利用Zoom散布有關種族、宗教及性向之不當言論。
-
資安稽核與測試:定期提供服務組織控制報告(SOC2)予紐約州檢察長、持續進行風險為基礎之滲透測試,以辨識、評估及修正資安漏洞。
-
其他:提供外部監督機制(例如漏洞回報獎勵計畫、提供資安隱私投訴管道給使用者及專業監督組織等)
自今年三月起,Zoom即開始調查有關Zoombombing所造成的種族、宗教及性向等不當內容舉報,並進一步在停止與Facebook分享資料後,推出具加密措施及預設密碼之新版本「Zoom 5.0」。Zoom發言人表示:很高興能達成這項協議,代表Zoom已經完成其90天資安、隱私計畫中的一部分,包括將許多我們已經存在的安全功能變為預設開啟,並且導入新的資安增強機制。
而就在Zoom與紐約州檢察長達成協議的4天後,美國聯邦貿易委員會(The Federal Trade Commission,下稱FTC) 主席Joseph Simons在一場與眾議院的電話會議中表示,FTC正在調查Zoom的隱私權問題,並將嚴肅看待有關Zoom資安隱私問題之投訴。雖然FTC的調查不一定會導致Zoom受到處罰,但是勢必將使Zoom更審慎面對其應採行之資安措施。
參考資料: