今天你Zoom了吗?近日,疫情期间大火的视频会议软件Zoom爆出重大安全漏洞:数以万计私人会议视频被上传至公开网页,任何人都可在线围观!这些泄露的视频,被其j S 9 ? K R | w他用户扫描后上传到了YouTube、Google、Vimeo等各大视频门户网站上。r P W - 1 Z [ D人们通过这些泄露的视频可以看到治疗会议、商务会议、小学上课等记录。4月8日,4 } j 6 - h P谷歌以安全原因为由,禁用了员? + k ] d |工笔记本上的视频会议软件Zoom。
15000个视频被公开,背后原因?
Zoom 此次曝光的一系列安全漏洞中,最主要的是没有在视频通话中使用端到端加密。仅在部分文本信息和部分模式的音频中使用了这@ A / A 1 g C一加密方式,但却在视频应用中显示Zoom is using end to end encrypted connectioo S G r + 5 A Un(假滴,假滴,都是假^ a ! ` ) r s滴)。
Zoom为啥5 H ; [不用端到端?
要了解端到I 1 A { O ` e端加密,首先要了解什么是加密。
在密码学中,加密是将明文信息改变为难以# V F @ k l读取的密文内容,使之不可读的过程。只有拥有解密方法的对象,经由解密过程,才能将密文还原为正常可读的内容。
而端到端加密 (End-to-end encryption,E2EE)是一个只有参与通讯的用户可以读取信息的通信加密系统。总的来说,它可以防止潜在的窃听者——包括电信供应商、互联网服务供应商甚至是该通讯系统V S E v b的提供者——获取能够用以解密通@ Y e N `讯的密钥。
此类系统可以防止潜在的= Z . k监视或篡改,因为没有密钥的第三方难以破译系统中传输或储存的数据。使用端到端加密的通讯提供商比如1 5 uwhatsapp,就E s G ) 1 l无法将其客户的通p ~ )讯数据提取出来。(加密网盘安全星球就是采用这项技术,可想` L X而知文件存在这里是有多么安全)
无加密的情况下,A到B的任何一个环节都可以查看和修改信息;
SSL加密从A到服务器,服务器到B的信息传输都是安全的,但服务器上的信息是解密的;端到端加密A端使用用户B的公钥加密,服务器是没有密钥的,B端用户Y * y : E H再用私钥解密,整个传输过程都是加密的p $ $ w h W H。
1994年,NetScape公司设计了SSL协议(Secure Sockets Layer),1999年,互联网标准化组织ISOC接替NetScape公司,发布了SSL的升级版TLS,而TLS就是Zoom现在使用的视频加密方式,所以t 2 g b V ^ L用户数据还p v l v h }是可以被窃取的。
Zoom安全问题的三点启示
虽然Zoom是一家纯粹的美国科技创业公司,但是Zoom最近一周遭遇的“安全风暴”,足以引起中国科技公司的重视,国内的Q 2 O f老板与高管们也应当清醒地思考以下几个问题:
1、绕不过隐私和安全大坑是基因缺陷
科技企业为什么总是在隐私保护的大坑翻车?去年底小米生态链企业Wyze泄露北美240万用户数据(也涉及到数据回传中国v 0 H M @ o e D服务器的指控)、前不久猎豹移动40多款应用被谷歌全线@ 3 u下架、微盟删库跑路……这些都是近半年来信手拈来的血迹未干的“成功创业”案例。
这些公司真正重视过安全和隐私吗?
有CPO(首席隐私官)吗?
有年薪. ; ` 1千万的CISO吗?
有充足的网络安全预算和人才吗?
有完善的风险管理、风险控制和安全运营架构吗?
有基于 % 1 +安全做顶层设计、流程设计和产品设计的“安全设计”思维吗?
董事会了解企业的安全现状、安全威胁和安全策略吗?
如果以上都没有,就选择安全星球吧,端到端加密技术,让您的企业一次性符Y 3 I F I ( 0 c b合中国的网络安全法和史上p { / | c N !最严的欧盟GDPR。
2、网络安全就是生命,网络安全就是生产力,网络安全就是创V + . t l新力
目I y h e Y /前大部分用Y L # Y D u户将照片、音频、视频等文件快速上传到网盘中,因为这样不仅可以节省移动设备的空间,还可以在需要时非常快捷的访问网盘中的内容。但实际上,绝大多数网盘的管理员可以从服务端的平台中直接查看和删除用户上传的文件。鉴于这种管理机制,用户的隐私很容易发生泄漏。掌握大量数据的公司,为了跟上AI时代的步骤,需要大量的训5 c c练数据,D 2 B } 2商业利益会驱使大公司利用用户存储在个人云盘g e A _ F里面的数据来进行AI神经网络训练,从而提升大公司的AI竞争力。
就数据保护而言,在一家融资上百亿的国内医药研S * ^ ; w J # 发公司看到 3 Y的网络安全问题,比“无症状新冠患者”还让人不寒而栗。在这个高度不确定的时代,唯一能够确定的一件事就是:如果没有g 7 z G f / G @ ^安全,= N 8 ;其他随时可能归零,无论你曾经多么“敏捷”、“颠覆“、平地起高楼。
安全星球,保护用户,就是在保护企业自己。用户只有自己通过l 0 ~ G a : x y安全星球客户端解密后方可访问。无论是第三方机构、服务提供商、亦或是数据被盗都无法访问存在m A S 5 L C安全星球里的加密文件。