这是商业史上最快增长的案例之一:从 1,000 万日活跃用户增长到 2 亿,视讯会议平台 Zoom 的声势在新冠病毒疫情暴发的时候增长。
用 Zoom 上课、开会、办 party 甚至举行婚礼……Zoom 在美国走向家喻户晓,也走入了风波中心。它是新冠病毒疫情中少数逆势窜红的企业,与微软等传统巨头竞争甚至还有领先之势;在上市一年不到的时间里,它的市值已经翻了一倍。
用户暴涨、再加上创始人和公司的中国背景,它也成为了网络攻击和隐私安全监管的最新最热目标。这场风波正在危及 Zoom 的崛起。一些学校、企业陆续禁用 Zoom,纽约总检察长发起问询,波士顿 FBI 发布警告,多家研究机构公布 Zoom 漏洞,集体诉讼来袭……
新晋全民社交平台 Zoom 正在经历属于现象级平台的危机,就像每一个王座上方,都悬著一把达摩克利斯之剑。
新全民社交平台
在新冠病毒时期的美国,Zoom 堪称红极一时。
在 Zoom 去年上市的招股书中,其产品定位还是面向企业用户的商业工具,但就在美国新冠病毒疫情暴发、超过 9 成民众居家避难之时,Zoom 成了全民社交平台。
上班、上课、云端聊天、音乐会、同事周五一起喝酒的“Happy Hour”……都被转移到 Zoom 上,每人打开镜头拿着一杯酒,开线上派对。
或许越是居家避难不得出门,越是能激发人类的社会属性。有意思的是,在 Google 的 Hangouts、微软的 Skype 和 Teams、苹果的 FaceTime、Facebook 的 WhatsApp 这些网络巨头产品的夹击下,用户涌向了使用简单、能够承载多达 500 人视讯会议的 Zoom。
新冠病毒疫情期间美国开放的学校只有“Zoom 学校”,世界各地的中小学生开始转向线上网课,这让 Zoom 评分一度被拉低到 2 星。血洗评分的手段,和中国学生怒刷钉钉差评如出一辙。
Zoom 披露数据称,自从疫情暴发、Zoom 向学校免费提供服务以来,已为 20 个国家 / 地区的 9 万多所学校提供线上教学平台。
甚至美国-组织也非常依赖 Zoom。富比士杂志发现,在 3 月 23 日至 26 日的短短几天内,美国疾控中心、联邦紧急事务管理局和美国国立卫生研究院密集发出了订单,价值高达 140 万美元。
流行歌手酷娃恰莉(Charli XCX)也在 Zoom 上开了一场专辑发表会和粉丝见面会,她在会前 4 小时发出 Zoom 的视讯编号,“人数限制 1,000 人”,粉丝奔走相告。
为什么在这么多产品中,走红的是 Zoom?流行的答案之一是,Zoom 用起来真的很简单。
会议组织者发给参与者一个简单的连结,点入就可以参与会议,之前甚至只要输入视讯会议的编号,就可以进入会议。
虽然提供了便利,但这些编号、连结却很容易被恶意程式截获,闯入视讯会议。有用户比喻为,如果我不锁上家里的正门,进进出出也会很方便。
所以,Zoom 在取代了办公室、学校、餐厅、酒吧之后,其平台 和2亿用户,也成了网络攻击最热门的目标。
最典型的袭击名为“Zoom 轰炸”:陌生人利用截获的会议编号或者连结,侵入别人的视讯会议,轻则恶作剧,重则发布仇恨言论、不雅图片。
在科技媒体 TechCrunch 记者们喝着啤酒聊著天的线上聚会中,在 The Information 举办的专业线上论坛,甚至是云集了师长家人的线上毕业答辩中,以及国中生的线上课堂,都有不速之客突然闯入会议,劫持了所有人的屏幕,用攻击性的言论和不雅图像骚扰与会者。
一些人认为这是无聊的恶作剧,但也有用户把这等同于“恐怖袭击”。
《纽约时报》调查发现,有 153 个 Instagram 账户、数十个 Twitter 账户和私人聊天、Reddit 等论坛上的多个活动讨论版面,成千上万的人聚集在一起组织 Zoom 骚扰活动,共享会议密码和轰炸公开和私人会议的计划。目前 Reddit 已关闭了讨论“Zoom 轰炸”的留言板。
但这只是 Zoom 面前的难题之一。
寻找 Zoom 漏洞
做为一个千万用户的平台,Zoom 的便利足以赢得好名声。但做为一个亿级规模的用户平台,数据和隐私安全就成了悬在 Zoom 头顶的利剑。骇客和网络安全专家,都开始把 Zoom 放在显微镜下找漏洞。
安全研究人员发现 Zoom 在苹果电脑上安装了隐密的服务器,在卸载客户端后,Zoom 无法删除该服务器。研究人员 Jonathan Leitschuh 表示,该网络服务器意味着任何恶意网站都可以在未经用户许可的情况下触发安装了 Zoom 的网络镜头。
网络安全公司 Sixgill 发现在一个暗网论坛上,用户发布了 325 个被破解的 Zoom 账号,连结包括电子邮件地址、密码、会议 ID、主持人和姓名,以及 Zoom 账号的类型。大多数属于个人,一些属于企业机构。根据 Sixgill 的说法,“其中一个属于美国主要的医疗服务提供者,7 个属于各种教育机构,1 个属于小型企业。”
很多人甚至觉得,“Zoom 轰炸”只是一个玩笑。有用户在 Reddit 上发问:为什么每个人都那么反对“Zoom 轰炸”呢?就是找点乐子,是不太成熟,但是你懂我的。
这些漏洞和隐私问题在私人聚会中这可能无伤大雅,但是对于针对学生的教育机构、保有商业机密的企业以及-机构来说,这已经足以敲响警钟。纽约市发言人 Danielle Filson 在一份声明中说,该市教育部指示学校“尽快取消使用 Zoom”。
Zoom 的失误,也给予了竞争对手可乘之机。
Filson 表示,纽约市教育部门没有与 Zoom 签订合约,学生和教职员工将转移到微软的 Teams,后者具有“相同的功能,并已采取适当的安全措施”。
在企业方面,特斯拉因为隐私方面的缺陷而命令员工停止使用 Zoom 。
Zoom 还面临着集体诉讼,“罪名”有三:将用户数据发送给 Facebook、没有使用端到端的加密方式、其网络镜头有漏洞使得恶意攻击者有机可乘。
但不得不指出的是,在一些-和机构对 Zoom 的指控和调查里,有色眼镜成为重要原因。创始人的中国背景、倚重中国的开发团队,在这些-和机构对 Zoom 的怀疑中成为了“原罪”,他们以“一些数据会透过 Zoom 位于中国的服务器,有安全隐忧”为借口,开始对 Zoom 的攻击。
Zoom 在新冠病毒疫情冲击下逆势高涨的股票,曾让公司 CEO 的身价上升了 77%,如今也开始跌落。
戴稳王冠
在辉煌与争议之中,Zoom 首席首席执行官袁征开启了巡回致歉模式:“我们这次真的搞砸了”、“我们出现了一些失误”、“学到了教训”。
Zoom 曾一直做为商业工具而存在,一夜之间,新冠病毒疫情将它推上了全民社交工具的舞台。面对汹涌上线的 2 亿用户,Zoom 显得有些招架不住。
袁征在接受 NBC 新闻采访时做了一个比喻,他觉得 Zoom 原本在高中、大学打篮球校队,仅仅一周就突然进入 NBA。他说:“在第一周,你就被电得很厉害,但是你猜怎么样?继续前进,从错误中学习。”
Zoom 宣布 90 天内不再发布新功能,集中精力解决平台的隐私和安全问题。随之而来的,是一大批新改进的推行:
从 4 月 5 日起,Zoom 设立一个虚拟的“等候室”,与会者需要经过会议主持的批准,才能加入视讯会议;
Zoom 还设置了密码,用户不再能仅透过一个视讯编号,就进入或闯入一场私人会议;Zoom 也表示,已停止向 Facebook 发送数据,针对 Mac 和 Windows 产品的安全漏洞推出了修复程式;
Zoom 甚至道歉称,在努力提高服务器容量以适应过去几周大量用户涌入的过程中,它“错误地”允许其两个中国资料中心,在网络壅堵时接受呼叫做为备份。
对于一些有争议的功能,Zoom 也选择先搁置。比如说,Zoom 原本有一个注意力追踪功能,该功能可以让会议主持者查看参会者是否开着 Zoom 但在使用其他程式。在公众的强烈反对之后,Zoom 停用了该功能。
这些行为收到来自-机构的积极信号。据路透社报导,美国国土安全部在最近分发给-高级网络安全官员的备忘录中提到了,Zoom 一直在认真回应其软件引发的担忧。
网络安全专家也在探讨 Zoom 的替代产品,不过他们发现,目前没有任何一个视讯聊天软件是完美的:
苹果的 FaceTime 和 Facebook 的 WhatsApp 使用端到端的加密方式,资讯更为安全;但 FaceTime 只能在苹果装置间使用,还无法允许 32 人以上同时视讯,而 WhatsApp 一次只能 4 人视讯。
Zoom 的支持者们也在自己写“Zoom 防入侵教程”,教大家怎么更安全地使用这个产品:
- 在启动或安排会议时,可以为会议生成随机编号,而不是使用个人编号。
- 要绝对保证会议安全,请确保参与者需要密码才能访问会议。谨慎共享密码。
- 启用等候室,确认与会者再允许进入。
- 关掉与会对象共享屏幕的权限。
现在,Zoom 正在经历的一切,其实 Google、Facebook、Twitter 等公司早已经历过,这就是成为顶级平台的必经考验。但 Zoom 必须闯过这一关,才能把 2 亿日活跃用户平台的冠冕,稳稳戴在头上,再也无法被撼动。
(本文由 PingWest 授权转载;首图来源:Zoom)
延伸阅读:
- 以有安全疑虑为由,Google 全面禁止员工使用视讯会议软件 Zoom
- 部分被盗取的 Zoom 用户密码与 ID 已经在暗网出售
- -带头禁用!行政院要求公务机关停用有资安疑虑的 Zoom
- Zoom 资安争议懒人包,专家建议如何使用这套视讯会议服务较为安全
