首页 电商 正文

客户花钱雇黑客,竟是为Zoom找bug

2024-03-22 08:10
admin

文/白交鱼羊

来源:量子位(ID:QbitAI)

客户花钱找黑客,帮你产品找Bug……

这样的客户哪里找?这样的产品又究竟有怎样的福报?

Zoom,疫情之下最火爆的视频会议公司,又上演了电影一样的商业剧情。

继没实现端到端加密、北美的视频通话绕道中国、一分钱能买71个Zoom账号之后……

风口浪尖上的Zoom,又被其客户Dropbox的前工程师曝出:客户早就对Zoom的安全性感到瑟瑟发抖。

据纽约时报报道,Zoom的客户之一——Dropbox在2018年就开始付钱给顶级黑客,让他们帮忙找出Zoom的漏洞。

结果,不仅安全漏洞的数量和严重程度令人感到震惊,在他们将漏洞报给Zoom后,Zoom的修复速度也令人头大。

比如,黑客在去年发现了Zoom的一个漏洞:通过Zoom,攻击者能够获取苹果macOS用户的计算机控制权。

而Zoom花费了整整三个月的时间,在又有其他黑客发现了这一漏洞后,才终于完成了修复……

真魔幻啊。掏钱换掉不香吗?

来自合作伙伴的push

Dropbox和Zoom自2018年起就达成了合作关系。

随后,Dropbox将自身功能跟Zoom进行了整合。

不过,Dropbox还是留了个心眼。出于对视频会议系统漏洞危及自身企业安全的考量,Dropbox决定自行监控Zoom的安全漏洞。

别人家付费找黑客来debug,找的都是自家的bug。

而Dropbox的漏洞赏金计划,却是让黑客给Zoom找漏洞。

对此,Dropbox是这样解释的:

在2018年,我们试行了一个计划,将战略合作伙伴和供应商纳入我们的漏洞赏金计划。在此计划下,Dropbox会向发现合作伙伴平台中漏洞的安全研究人员提供奖励。

结果嘛,大概也无需多言。反正,连Dropbox自己的工程师都开始下场给Zoom抓虫,并加装了控件来控制Zoom带来的风险。

据纽约时报报道,Dropbox的年度黑客竞赛上,他们搞了一个山寨版Zoom——Vroom,要求研发人员对其进行破解。而这样做的目的,是教育自家工程师们不要像Zoom那样犯安全错误。

替别人Debug,最终目的当然不止于找出漏洞。

Dropbox把这些bug都报给了Zoom,并催着Zoom进行修复。

Dropbox前安全主管ChrisEvans就表示,Dropbox这样的早期介入明显帮到了Zoom,否则Zoom爆火之后,漏洞问题恐怕会带来更多麻烦。

只不过,Zoom此前修复漏洞的速度并不总是让人满意。比如前文提到的针对MacOS的深层攻击,Zoom花了三个月的时间才解决。

甚至,向纽约时报爆料的前Dropbox工程师认为,正是因为未能彻底改革其安全业务,Zoom才陷入了如今的困境。

对此,Zoom创始人兼CEO袁征曾在2019年7月发布公告,就未能及时回应漏洞问题道歉:

在过去90天的研究中,我们错误地判断了形势,反应不够迅速,责任在我们。

不过道歉归道歉,要是当时就完全改好了,也不会在疫情之下被锤爆。

疫情爆红之下的Zoom

短短几个月内,Zoom以一个只服务于公司业务的工作会议工具迅速转变为全球第一的视频软件。

前几天,BondCapital合伙人、“互联网女皇”MaryMeeker发布了最新一期的《互联网趋势报告》。其中就提到,以Zoom为代表的科技公司成为2020年疫情风口上的宠儿。

用户数暴增20倍,股价也一路狂飙,截至4月20日收盘,Zoom股价为148.99美元。

虽然用户数与股价齐飞,但各种问题也是接踵而至。

Zoombombing、与Facebook共享数据、缺乏端到端加密,服务器要经过中国,黑客叫卖zoom账号一分钱购买71个……

Zoom就这样,一下子处在了风口浪尖上。

当然,也有人为Zoom鸣不平,正是因为用户数一下子暴增的20倍,让Zoom有了很多前所未有的新用途,相信没有哪一个视频会议软件能够顶住这一层压力。

前Facebook首席安全官、Zoom安全顾问AlexStamos就表示:Zoom在疫情之中面临很大的变化,公司必须以新的方式去思考隐私和安全问题。

好在这一次,面对问题,Zoom不拖沓了。

GrupoBancoSantander网络安全研究负责人DanielCuthbert说:“Zoom的漏洞很严重,但并非唯一的、特殊的。现在,Zoom迅速采取了行动,这是令人欣喜的举措。”

就在被锤爆后,Zoom公开宣布将停止开发新功能,将在90天的时间里面进行各种问题的修复,并将在每周举办一次研讨会,直接对话ZoomCEO袁征。

这不,已经举办了两次的研讨会,在官网上已经有了会议记录。

先是第一次研讨会上,袁征与5,900多名与会者进行了交谈,并通过YouTube直播加入了更多与会者。

会上,袁征主要是回答了一些问题,其中最为主要的就是关于“加密”。

我们使用的是AES加密的方式,密钥是由我们的系统生成的。我们正在开发一项功能,以便从我们的客户那里生成密钥。我们正在将加密从AES-256ECB升级到AES-256GCM。

未来的45天里,将致力于让每个用户都能够升级程序,使用新功能。

而在第二次的研讨会上,Zoom便有了实质性的进展。

首先是在人员调动上面,新的安全顾问AlexStamos也在会上亮相。

AlexStamos是前Facebook首席安全官,是斯坦福大学国际安全与合作中心的计算机科学家及兼职教授。

此外,还启动了一个漏洞赏金计划。

Zoom将与LutaSecurity合作,重新启动漏洞赏金计划。

LutaSecurity将通过90天的“康复”计划全面评估Zoom的计划,该计划将涵盖所有内部漏洞处理

流程。

LutaSecurity由KatieMoussouris创建。

虽然名字大家陌生,但这个人,来头真不小。

她曾在Microsoft、Pentagon上创建了漏洞赏金计划,并还直接参与了美国国防部为黑客制定的第一个漏洞赏金计划。

看来,Zoom要解决网络安全的问题决心很大呀。

最后,袁征团队也强化了一些安全功能。比如主持人或联合主持人可以使用“锁定会议”、“启用等候室”、更改了视频会议的默认设置、增强了密码的复杂性等等。

甚至还对外公开了内部工作计划时间表。

这一次,看起来是真心改过了。

但是,随着疫情对视频会议软件的催熟。

目前Zoom面临的竞争形势大变,不说微软和谷歌等巨头纷纷加码,加大在视频会议方面的投入和产品体验提升。

一众中国公司,也纷纷“揭竿而起”,腾讯会议、飞书、阿里云会议……就连百度内部IM工具百度Hi、网易内部IM工具,都纷纷传出要“对外开放”的声势。

留给Zoom的时间,不多了。

留给客户的可选项则更多了,流畅、安全,更要免费……Zoom之前“独享”的蛋糕,现在竞争可是空前激烈的。

对了,你们视频会议,用的啥软件嘞?

相关文章

  • Slack、Zoom们全军出击 中国的远程软件准备好了吗?

    Slack、Zoom们全军出击 中国的远程软件准备好了吗? Slack为这家公司超过4000名包括从销售、HR、到工程和战略等在内的全部员工提供协作服务。,而Slack从一开始的定位便注定会受到巨头高度警惕和制裁,关键手段便是价格战及捆绑式销售。,随后Slack在自己博客中辩解道,尽管日活被提及得最多,但真正重要的是使用时长。

    2024-03-22 08:45

  • NASA和SpaceX禁止员工使用Zoom视频软件 因担忧隐私

    NASA和SpaceX禁止员工使用Zoom视频软件 因担忧隐私 未来请使用电子邮件、短信或电话作为其他的替代沟通方式。,美国航天局发言人斯蒂芬妮·希尔霍尔茨(StephanieSchierholz)表示,除了SpaceX之外,该公司最大的客户之一美国国家航空航天局(NASA)也禁止其员工使用Zoom。,作为国防承包商,总部位于加利福尼亚州的SpaceX被归类为关键业务,这意味着该公司在疫情期间可以继续经营。

    2024-03-22 08:19

  • 月入2万的中国程序员,撑起Zoom千亿市值

    月入2万的中国程序员,撑起Zoom千亿市值 1、隐私安全问题频发近日Zoom隐私安全问题频发,先后被曝出向Facebook发送用户数据、未按宣传所言采用端到端的加密方式,未经用户同意通过预加载方式下载应用程序,还被NASA和SpaceX明令禁止使用......但即便如此,Zoom股价相比上市之初的每股62美元而言,不到一年就实现了超过142%的涨幅。,”可见,尽管在短期内Zoom的这种劳动力套利模式起到了一定成效,但要一直依靠压缩研发成本来

    2024-03-22 08:19

  • Zoom CEO为安全漏洞道歉 股价一度大跌16%

    Zoom CEO为安全漏洞道歉 股价一度大跌16% 新浪科技讯北京时间4月2日晚间消息,据国外媒体报道,针对视频会议应用Zoom近日曝出的一系列安全和隐私问题后,该公司CEO袁征(EricYuan)今日进行了道歉,并给出了解决这些问题的方案。,与此同时,美国联邦调查局(FBI)、美国航天局(NASA)和太空探索技术公司SpaceX近日也都宣布,禁止员工继续使用Zoom。,这其中将包括一个“漏洞赏金”计划,向发现和报告安全漏洞的人们支付报酬,以及与第

    2024-03-22 08:18

  • Zoom爆出安全漏洞后CEO道歉 全力以赴完善安全性

    Zoom爆出安全漏洞后CEO道歉 全力以赴完善安全性 我们已经吸取了教训,放缓脚步专注于隐私和安全性。,袁征之前就已经在接受采访时表示,他有义务重新赢得用户的信任。,纽约邮报报道称,纽约市教育局已经发布通知,开始使用Zoom竞争对手MicrosoftTeams进行网上授课。

    2024-03-22 08:18

  • 市值翻倍、日活暴涨…Zoom要怎么坐稳硅谷巨头宝座?

    市值翻倍、日活暴涨…Zoom要怎么坐稳硅谷巨头宝座? 但作为一个亿级体量用户平台,数据和隐私安全就成了悬在Zoom头顶的利剑。,有用户在Reddit上发问:为什么每个人都那么反对“Zoom轰炸”呢?就是找点乐子,是不太成熟,但是你懂我的。,但Zoom必须闯过这一关,才能把2亿日活用户平台的冠冕,稳稳戴在头上,再无法被撼动。

    2024-03-22 08:17

  • Zoom爆安全漏洞 CEO袁征在直播中道歉

    Zoom爆安全漏洞 CEO袁征在直播中道歉 袁征说:“很显然我们还有很多工作要做,确保在所有这些用户使用场景下的安全。,周三,Facebook前信息安全负责人埃里克斯·斯塔莫斯(AlexStamos)宣布,他会在安全问题上与Zoom合作,但他不会成为该公司的员工或高管。,这在隐私、信任和安全等方面带来了任何公司都没有遇到过的挑战。

    2024-03-22 08:16

  • 疫情期Zoom成当红炸子鸡 李嘉诚早期投资已翻数十倍

    疫情期Zoom成当红炸子鸡 李嘉诚早期投资已翻数十倍 现在,这一押注在当前的病毒大流行危机中获得了回报。,2019年4月,当ZoomVideo开始在美国公开交易时,李嘉诚的股份价值约为8.5亿美元。,前雅虎联合创始人杨致远(JerryYang)则是另一位早期投资者。

    2024-03-22 08:16

  • 拥挤的在线会议市场,Zoom的“意外”网红路

    拥挤的在线会议市场,Zoom的“意外”网红路 从2月6日起,腾讯会议App在iPhone免费应用榜的排名也一直稳居前三。,为了垄断这个入口,BAT们大可以在“云视频会议”等工具上一分钱不收。,因此Zoom想要独立与BAT级的玩家竞争,恐怕在获客上没有多少优势。

    2024-03-22 08:15

  • Zoom的“冰与火之歌”

    Zoom的“冰与火之歌” 主要形式为一个主持人主讲并可以共享屏幕,其他参与者之间几乎无互动,也就是基本没有媒体流的传输。,这时候中心化网络架构就是基础,而在这些市场里Cisco和Polycom仍占据重要位置,只是后者已然失去了当年的风光。,其次,以API、SDK等形式做技术支持而不提供端到端解决方案,对于技术型初创公司来说,需要非常慎重,很可能是一种讨巧却无法形成足够壁垒的战术失败。

    2024-03-22 08:15

热门标签