視訊軟體Zoom因疫情火紅 NASA等機構禁用

2019年冠狀病毒疾病（COVID-19，武漢肺炎）大流行，讓視訊會議軟體Zoom使用激增。但美國包括NASA與SpaceX基於「重大隱私及安全疑慮」，要求不得使用這款App。

美國國家航空暨太空總署（NASA）發言人謝爾霍茲（Stephanie Schierholz）也表示，已禁止員工使用Zoom。美國執法部門也對Zoom的安全性提出警告。

根據美國約翰霍普金斯大學（Johns HopkinsUniversity）最新統計，美國的新型冠狀病毒確診人數為21萬6515人，為全球最多。為防堵疫情擴大，許多美國人被要求在家隔離，Zoom及其他視訊軟體的使用急遽上升。

根據路透社掌握的文件內容，太空探索科技公司（SpaceX）於3月28日發出的電子郵件中告訴員工，即日起不能使用Zoom。SpaceX在信中表示「我們了解到，許多員工利用這項工具來舉行會議」，要求員工使用電子郵件、簡訊及電話來替代。

太空探索科技公司是電動車大廠特斯拉（Tesla）執行長馬斯克（Elon Musk）旗下的私人火箭公司。

美國聯邦調查局（FBI）波士頓辦公室3月30日發佈有關Zoom的警示，呼籲Zoom用戶不要在公共或是共享網域內舉行視訊會議。FBI先前已接獲2起通報，有不明人士入侵學校的視訊會議。這類駭客入侵線上會議的現象被稱為zoombombing。

調查報導類的新聞網站「攔截」（The Intercept）3月31日報導，Zoom的視訊會議並非在所有會議參加者間（end-to-end）加密傳輸，Zoom本身也可看到用戶的會議內容。

Zoom未立即對此做出回應，但過去已建議用戶開啟平台上所有隱私權的功能。

Zoom 承認視訊會議並沒有真正「端到端」加密，消費者還該繼續使用嗎？

很多使用者都以為視訊會議軟體 Zoom，徹頭徹尾實踐了「端到端加密」（End-to-end encryption，E2EE）功能，確保線上會議內容安全無虞。但是，根據外媒深入研究後發現，Zoom 並沒有真正使用外界認為的「端到端加密」，造成了極大的隱私安全風險。

根據國外媒體 The Intercept 報導，Zoom 在官方網站與安全性白皮書中所稱「視訊會議皆採用端到端加密」的說法，與實際情況並不相符。The Intercept 進一步求證 Zoom 發言人後，他們承認當前的 Zoom 視訊會議功能，的確無法啟用真正的端到端加密。

既然如此，Zoom 所稱的「端到端加密」又是怎麼回事呢？確實，Zoom 上的所有連線都透過了 TLS 進行加密傳輸，這與網頁瀏覽器用來保護 HTTPS 網站的標準相同。這表示，使用者到 Zoom 伺服器間的通訊，的確具備著加密保護，就如同存取 Gmail 或 Facebook 一樣。

通常我們理解「端到端加密」時，指的都是「客戶端」到「客戶端」間的 E2EE，例如 Signal 或 WhatsApp 這類通訊軟體，皆有實踐嚴格的端到端加密，服務提供者無法從加密連線中，獲得任何的存取權限。但是，Zoom 的情況卻與外界認知的有不小落差。

目前 Zoom 所採行的端到端加密為「兩段式」，即「客戶端」到「伺服器」具備 E2EE，而「伺服器」到「客戶端」是另一段 E2EE，Zoom 本身並沒有提供「客戶端」到「客戶端」的一段式加密，這使得他們所聲稱的「端到端加密」極具誤導性，也代表 Zoom 可能有辦法存取伺服器上的資訊，形成了隱私安全漏洞。

對此 Zoom 向 The Intercept 表示，他們的「端到端加密」說法並沒有刻意誤導使用者，在 Zoom 所有支援文件中，只要提到「End to End」都是指 Zoom 端點到 Zoom 端點之間的加密連接，即便中途通過伺服器，內容也不會在雲端遭到解密。

詭異的是，Zoom 內建的文字聊天功能，確實具備嚴格的端到端加密功能，Zoom 官方也指出，他們沒有解密這些訊息的特定密鑰。

Zoom 也特別強調，公司會透過軟體收集部分的用戶資料，包含 IP 位置、作業系統與硬體詳細資訊，但僅會用於改善軟體使用體驗，並在使用者同意的狀況下進行，不會出售或分享給第三方，Zoom 內部員工更不可能存取特定的會議內容。

曾有媒體爆出 Zoom 洩漏了上千個電子郵件地址與圖片給陌生使用者，甚至允許進行視訊對話，還有讓 Mac 使用者點擊到惡意網站時，透過 Zoom 啟動視訊攝影機，以及最近的傳送資料給 Facebook 事件等，都讓 Zoom 的安全性得到不少質疑。

企業或個人用戶到底該不該繼續使用 Zoom 呢？只能說我們並不是沒有其他替代選擇，例如微軟的 Teams 就擁有視訊會議功能，要拿 FaceTime 或 WhatsApp 來開會也並非不可以，如果你真的很擔心 Zoom 的安全性風險，不妨現在起就改用其他 App 吧！

爆紅視訊軟體Zoom連傳安全漏洞 創辦人致歉

受武漢肺炎疫情影響，愈來愈多人在家工作或學習，使得視訊軟體Zoom爆紅，但爆出一系列安全漏洞，華裔美籍執行長袁征發文致歉，承諾會解決相關問題。

英國廣播公司（BBC）報導，2011年創立Zoom的袁征在部落格文章中坦言，疫情爆發後，Zoom的使用量一夕激增，這是他始料未及。

他寫道：「截至去年12月底，每天在Zoom上參與會議人數，包括免費和付費，最多大約1000萬人。今年3月，我們人數突破2億。」

他坦言，儘管公司團隊「全天候工作」以支援新湧進的用戶，服務品質仍「未能達到整個社群和我們自己的隱私和安全期望。為此，我深感抱歉」。

Zoom先前因一連串隱私問題招致批評，包括將用戶資料傳到臉書（Facebook）、不實地宣稱Zoom有端對端加密，以及允許會議主持人追蹤與會者動向。

前美國國家安全局（NSA）駭客、現任Jamf首席安全研究員的沃德爾（Patrick Wardle）本週披露一連串問題，包括有漏洞會讓Mac用戶容易遇到網路攝影機及麥克風遭駭的情況，以及能讓駭客植入惡意程式碼，肆意錄音錄影。

袁征在文中列舉團隊會改善的地方，例如釋出Mac相關問題的修補工具、移除會讓iOS App資料分享臉書的程式碼等，並指出未來90天的計畫，包括凍結新功能研發以聚焦安全和隱私性。

小心監看！遠距辦公風險增，Zoom安全使用四大招減少網路威脅

全球新型冠狀病毒的危機令數百萬人開始居家隔離或檢疫，無法外出工作或從事社交活動。目前全球有多達 50% 的員工正在居家辦公，線上通訊平台因而成為個人、企業與外界聯繫不可或缺的工具；擁有近20%全球市佔率的Zoom，便是其中最受歡迎的平台之一。

即便Zoom擁有許多優點，但也存在一定風險。Check Point 年初發布的報告指出，若不當使用Zoom，企業外部人員將能竊聽私人會議和通話，導致個人資料外洩或發生商業間諜行為。如何在享受 Zoom 的便利性時免受網路威脅影響？Check Point 提供以下四個方法：

1.隨時更新軟體

為保證軟體持續安全有效，使用者必須經常更新 Zoom 軟體。科技公司在更新產品時不僅會增加新選項和功能，還會修復已發現的產品缺陷和安全性漏洞，如上述的會議竊聽漏洞。與大眾普遍認知不同的是，使用者必須要注意駭客的攻擊並非在安全性漏洞修復後即結束，而是在使用者將軟體更新並執行修補程式之後才停止，因此未更新軟體的使用者仍然容易受到攻擊。

2.使用登入密碼

Check Point 針對 Zoom 會議的安全性試驗發現，攻擊者能夠透過猜測 Zoom 會議連結的隨機數字代碼，在不驚動會議主持人的情況下滲入會議，因此未設置密碼的會議將存在安全性漏洞。目前 Zoom 已修復此安全性漏洞並採納 Check Point 的建議，現今所有會議均自動受到密碼保護。

除了顯示使用者 ID 外，使用者在進入會議前也被要求輸入密碼，以提供會議足夠的安全性。但為了擁有全面的安全性保護，邀請與會者加入會議的方式也很重要。

在輸入使用者 ID 和密碼之外，Zoom 還提供另一種安全性較低的參與會議方式。使用者只要按下螢幕底部的「邀請」按鈕，並點選「複製連結」或 「複製邀請」就能發送給與會者。此共用連結的方式不需輸入密碼，任何擁有連結的人均可加入會議，且不會顯示使用者 ID 或密碼。若能透過 SSO（單一登入）連接到 Zoom，則較具安全性保障。

另一種管理加入會議人員的方式是使用「等候室」選項，與會者需透過會議主持人創建的「等候室」進行連接，並由會議主持人逐一確認與會者身分，此功能可在「進階選項」的下拉式功能表中執行。

3.於通話期間管理與會者

即使使用安全性較低的共用連結選項，也可以透過限制與會者使用鏡頭來防止與會者顯示不當內容。會議主持人可按下「管理與會者」選項決定誰可以使用鏡頭和麥克風。

4.隨時為會議紀錄影片洩漏做好準備

Zoom 允許與會者錄製視訊通話，並在通話結束後可立即匯出影片。此功能在與未出席會議人員進行分享時非常實用，但由於與會者皆可以輕易匯出影片，檔案也較容易落入有心人手中，因此使用錄製工具的安全性有待加強。

為減少使用錄製工具可能帶來的危險，會議主持人可以透過管理與會者視窗，決定哪些與會者能錄製通話。另外也需注意，與會者可能使用外部軟體來錄製通話，因此企業應做好隨時有人錄製通話的準備，並及時採取相對應措施。通話結束後，確保不要將影片上傳共用平台，例如公共開放的資訊共用雲端。

Zoom 平台為在特殊時期內必須居家辦公的人們提供許多便利功能，企業應意識到可能存在的風險，並善用平台上的功能以確保通訊安全。 

ZOOM會議遭不良使用者闖入、學校紛紛禁用，創始人袁征認錯回應「我搞砸了，但我的意圖是好的」

隨著使用量的飆升，視訊會議平台Zoom公司頻頻出現了一些問題，紐約市等學區甚至已經禁止在網路授課中使用Zoom。而首席執行長袁征週日在接受採訪時表示，儘管該公司最近出現了安全問題，但其「意圖是好的」。

「我們步子邁得太快了……我們有一些失誤，」袁征在接受採訪時說。「我們吸取了教訓，後退一步，把重點放在隱私和安全上。」

袁征在接受採訪時還表示，他「身為首席執行長真的很失敗」，但他「有責任贏回使用者的信任」。

在袁征認錯之前，影片會議平台Zoom經歷了跌宕起伏的幾週。由於新冠病毒疫情的持續蔓延，Zoom使用量急劇增加，很多人不得不呆在家裡，用Zoom來保持聯繫、工作或進行學習。袁征在4月1日的一篇發文表示，該公司3月份的日活躍使用者達到了2億人，高於12月份的1000萬。

平台頻頻出現不受歡迎的使用者闖入並干擾會議問題。Zoom公司和使用者被安全問題弄得頭疼不已，以至於公司在4月2日宣佈暫停功能更新90天，專注於應對隱私和安全問題。

但出於對Zoom的安全擔憂，包括紐約市在內的一些學區已經禁止了線上課程中使用這種視訊會議平台。而另一些學區正在重新評估如何以及是否使用Zoom。

紐約市教育局告知教師們，他們不應該使用Zoom，而應該使用微軟的Microsoft Teams來上課。其他學區也禁止使用Zoom，或是加強使用Zoom的安全措施。

內華達州克拉克縣公立學校在一份聲明中表示決定「處於極大的謹慎考量，由於駭客闖入給教師和學生創造了不安全的環境，因此禁用Zoom」。但學校方面表示，其正在尋找恢復使用Zoom平台的解決方案。

「為此，我深感抱歉。」袁征解釋，「我們當初設計產品時，並未預設在短短幾周內，全世界每個人都會突然在家工作，學習和社交。」

「我們現在擁有廣泛的用戶群體，以各種意想不到的方式使用我們的產品，從而給我們帶來了設計這個產品時沒有想到的各種挑戰。」

美國聯邦調查局就Zoom網路教室和電話會議頻頻遭到「劫持」一事向公眾發出警告。據報導，猶他州阿爾派恩學區正在重新評估Zoom使用情況，先前他們與小學教師的視訊會議因有人闖入播放色情內容而中斷。

校長凱爾‧胡普斯(Kyle Hoopes)在Facebook上道歉，說他以後會透過不公開的群組發送視訊的連結通知，不會公開分享，「也可能會使用諸如Google Meets等別的平台」。

華盛頓州埃德蒙茲學區已經採取措施強化Zoom和其他線上平台的安全措施。老師們被告知只能在私人群組上提供Zoom會議連結，比如電子郵件，參加Zoom會議的人也不必打開視訊。

非營利組織「未來隱私論壇」(Future of privacy Forum)青年和教育隱私主管阿梅利亞‧萬斯(Amelia Vance)則表示，現在人們很困惑如何在網路世界中前行。

「當Zoom這樣的公司宣佈，他們將為教育工作者免費提供全部產品時，很多人都非常感激，」她說。她也聽到教育工作者、學區和管理人員詢問，關於Zoom的安全性是否「真的是個問題」。畢竟，目前其他的替代方案似乎都沒有Zoom的功能來的好。

萬斯認為網路攻擊並不是什麼新鮮事。她還表示，Zoom公司最初的功能，的確讓「那些濫用平台的人很容易這樣做」，但該公司現在似乎正在著手解決安全問題。

Zoom在上週六發佈的一份新聲明中說：「Zoom非常重視使用者隱私、安全和信任。Zoom最初是為企業而開發的......在新冠病毒疫情期間，我們正在晝夜不停地工作，以確保世界各地的醫院、學校和其他組織能夠保持聯繫和正常運轉......我們為自己在這個充滿挑戰的時代所扮演的角色感到自豪，並致力於為教育工作者和其他使用者提供所需要的工具。」

「我們仍在與他們合作的過程中，」袁征談到紐約學區的禁令時表示，「我們希望Zoom成為一家隱私和安全第一的公司。」

Zoom資安問題多，中華電信要求代理商解釋並宣布即日起停售

近期遠距視訊會議軟體Zoom不斷被報導資安漏洞疑慮。中華電信3月30日請Zoom產品代理商(百商數位科技股份公司)針對資安漏洞提出說明，在資安疑慮未釐清前，立即停售Zoom產品，對資安有疑慮客戶協助客戶移轉至適當遠端視訊服務。對資安等級要求嚴格客戶，中華電信則表示將提供與微軟合作「Office 365 商務基本版」Teams產品做為Zoom替代方案。

中華電信表示，至於原本客戶於租用Zoom服務合約期間，中華電信將以原契約等價優惠提供Office 365服務，確保原租用Zoom服務之客戶「服務不中斷，熟悉新產品」目標。

中華電信Microsoft Office 365商務系列遠距視訊會議Teams產品可支援250人同時視訊會議、使用電子白板、共享螢幕桌面、共編Office文件、控管團隊成員等企業級整合通訊功能，且具備1 TB超大容量OneDrive雲端儲存空間、50GB 郵件信箱Exchange Online，不僅提升工作效率，更讓團隊協同合作無縫接軌。Microsoft Teams具備完整的資安防護，支援多因子驗證(MFA)、聊天和頻道消息中具備數據丢失防護功能(DLP)、使用相互傳輸層安全性(MTLS)通訊協定在網際網路上提供加密通訊和端點驗證。

面對重大災損威脅，企業必須確保資料與系統的異地備份、備援與災難復原能力，中華電信更提供企業安心備份方案可讓企業能夠持續運作，落實營運持續管理(Business Continuity Management, BCM)。中華電信結合國際領導品牌Azure與Veeam，針對不同設備包含工作站、虛擬機、伺服器等，透過Veeam Backup Agent輕鬆備份到雲端，讓企業有備無患，降低風險與損失。

此外，因應企業IT人員分群辦公需要，中華電信IDC在全台北、中、南機房，提供異地備援機櫃搭配辦公空間之解決方案，規劃企業完備的營運不中斷計畫。中華電信整合資通訊領域優勢，以豐富的團隊營維運經驗，提供專業架構規劃與技術諮詢服務，協助企業超前部署，共同面對防疫挑戰。

隱私和安全第一的公司？🤔山寨國的「詐欺国」絕對沒有這種東西！😈