客户花钱找黑客,为你的产品找BUG……这样的客户哪里找?这样的产品有什么好处?疫情下最火爆的视频会议公司Zoom,上演了一场如同电影般的商业大戏。端到端加密失败后,绕过中国的北美视频通话,一分钱就能买到71个Zoom账号……风口浪尖的Zoom被前工程师曝光其客户Dropbox:客户长期以来一直担心ZoomSexy的安全性不寒而栗。据《纽约时报》报道,Zoom的客户之一Dropbox于2018年开始向顶级黑客付费,以帮助寻找Zoom的漏洞。结果,不仅安全漏洞的数量和严重程度惊人,而且他们在向Zoom报告漏洞后修复漏洞的速度也惊人。例如,去年黑客在Zoom中发现了一个漏洞:通过Zoom,攻击者可以控制苹果macOS用户的电脑。而Zoom用了整整三个月的时间,在其他黑客发现漏洞后,终于完成修复……太神奇了。花钱更换它不是很好吗?pushDropbox和Partners的Zoom从2018年开始就建立了合作伙伴关系。随后,Dropbox将自己的功能与Zoom集成在一起。尽管如此,Dropbox仍保持关注。出于担心视频会议系统漏洞危及自身企业安全,Dropbox决定自行监控Zoom的安全漏洞。其他人付钱给黑客调试,他们发现的只是他们自己的错误。Dropbox的漏洞赏金计划旨在让黑客为Zoom寻找漏洞。Dropbox是这样解释的:2018年,我们试行了一项计划,将战略合作伙伴和供应商纳入我们的漏洞赏金计划。根据该计划,Dropbox奖励在合作伙伴平台中发现漏洞的安全研究人员。结果,恐怕无需多说。不管怎样,就连Dropbox自己的工程师也开始为Zoom抓bug,并添加控件来控制Zoom带来的风险。据纽约时报报道,在Dropbox一年一度的黑客大赛上,他们制作了Zoom的山寨版——Vroom,并要求开发者破解。这样做的目的是为了教育自己的工程师不要犯像Zoom这样的安全错误。为别人调试,当然最终目的不仅仅是找漏洞。Dropbox向Zoom报告了这些错误,并敦促Zoom修复它们。Dropbox前安全主管克里斯·埃文斯表示,Dropbox的早期介入显然帮助了Zoom,否则Zoom流行之后,漏洞问题可能会带来更多麻烦。不过,Zoom此前修复漏洞的速度并不总是令人满意。比如上文提到的对MacOS的深度攻击,Zoom用了三个月的时间才解决。就连向纽约时报爆料的前Dropbox工程师也认为,正是因为未能彻底改革其安全业务,Zoom才会陷入今天的困境。对此,Zoom创始人兼CEO袁征在2019年7月发布公告,对未能及时响应漏洞问题致歉:在过去90天的研究中,我们误判了形势,没有做出回应足够快,责任在我们。但道歉就是道歉。如果当时完全纠正过来,就不会在疫情下被锤了。在疫情爆发的短短几个月时间里,Zoom已经从单纯服务于公司业务的工作会议利器迅速转型为全球第一的视频软件。日前,BondCapital合伙人、“互联网女王”MaryMeeker发布了最新一期的《互联网趋势报告》。其中提到,以Zoom为代表的科技公司成为2020年疫情的宠儿。用户数增长了20倍,股价也一路飙升。截至4月20日收盘,Zoom股价为148.99美元。虽然用户数量和股价一起飞涨,但各种问题也接踵而至。Zoombombing、与Facebook共享数据、缺乏端到端加密、服务器要经过中国、黑客卖zoom账号一分钱买71……Zoom就是这样,一下子就到了风口浪尖.当然,也有人抱怨Zoom。正是因为用户数量增长了20倍,Zoom才有了很多前所未有的新用途。相信没有任何一款视频会议软件能够承受这种程度的压力。Facebook前首席安全官、Zoom安全顾问亚历克斯·斯塔莫斯表示:Zoom在疫情期间面临巨大变化,公司必须以新的方式思考隐私和安全问题。好在这一次,面对问题,Zoom没有拖延。GrupoBancoSantander网络安全研究主管DanielCuthbert表示:“Zoom的漏洞很严重,但并非独一无二和特殊。Zoom现在迅速采取行动是值得欢迎的。”刚刚被锤,Zoom就公开宣布停止开发新功能,并会在90天内修复各种问题,每周召开一次研讨会,直接与ZoomCEO袁征对话。这不是真的,已经举办了两届研讨会,官网上已经有会议记录。首先,在第一场研讨会中,袁征与5900多名与会者进行了交谈,并通过YouTube直播加入了更多与会者。在会议上,袁征主要回答了一些问题,其中最重要的是关于“加密”。我们使用AES加密方法,密钥由我们的系统生成。我们正在开发一个功能,以便从我们的客户生成密钥。我们正在将加密从AES-256ECB升级到AES-256GCM。在接下来的45天里,我们将致力于让每一位用户都能升级程序和使用新功能。并且在第二场研讨会上,Zoom取得了实质性的进展。首先,在人员调动方面,这新任安全顾问亚历克斯·斯塔莫斯也出席了会议。AlexStamos是Facebook前首席安全官,斯坦福大学国际安全与合作主任。中心计算机科学家和兼职教授。此外,还启动了漏洞赏金计划。Zoom将与LutaSecurity合作重启漏洞赏金计划。LutaSecurity将通过为期90天的“修复”计划对Zoom的计划进行全面评估,该计划将涵盖所有内部漏洞处理流程。LutaSecurity由KatieMoussouris创立。虽然这个名字大家比较陌生,但是这个人的来头可不小。她在微软、五角大楼创建了漏洞赏金计划,并直接参与了美国国防部为黑客开发的第一个漏洞赏金计划。看来Zoom非常有决心解决网络安全问题。最后,袁征的团队还加强了一些安保功能。例如,主持人或联席主持人可以使用“锁定会议”、“启用等候室”、更改视频会议的默认设置、增加密码的复杂性等。甚至公开内部工作计划时间表。这一次,好像真的变了。不过,随着疫情让视频会议软件趋于成熟,Zoom当前面临的竞争格局发生了翻天覆地的变化,更何况微软、谷歌等巨头纷纷加紧加大对视频会议的投入,提升产品体验。多家中国企业也纷纷“造反”。腾讯大会、字节跳动飞书、阿里云大会……就连百度内部IM工具百度Hi、网易内部IM工具都传出了“开挂”的势头。留给Zoom的时间不多了。留给客户的选择更多,流畅、安全、免费……Zoom曾经的“专属”蛋糕,如今竞争空前激烈。顺便问一下,您使用什么软件进行视频会议?
