Zoom曝重大安全漏洞：数万视频被公开围观 CEO考虑

新智元报道

来源：washingtopost等

编辑：景言、梦佳、白峰

冠状病毒疫情期间，视频会议软件使用量激增，其中表现尤其抢眼的软件就是Zoom。Zoom的日活跃用户从去年12月份的1000万人激增到现在的2亿人，成为了视频会议软件中的当红炸子鸡，无法出门的欧美用户用Zoom开会、上课、做培训，探亲、访友、看医生，甚至连办婚礼、开葬礼这样的事也被Zoom承包了。

Zoom最吸引人的就是“简单好用”，但“简单好用”的代价就是安全漏洞多，隐私问题没办法保证。

数万隐私视频遭泄漏，源于视频命名方式？

15000个视频被公开

近日，华盛顿邮报又报道出Zoom存在的重大安全漏洞：数以万计的私人Zoom视频被上传至公开网页，任何人都可在线围观！很惊悚有没有！

向华盛顿邮报爆料的是美国国家安全局的前研究员帕特里克·杰克逊（Patrick Jackson），他爆料称在开放的云存储空间中一次性搜到了15000个Zoom视频。

华盛顿邮报依着这条线索看到的Zoom视频包括：一对一治疗方案；远程医疗呼叫人员最新的培训方向，其中还有参会人员的名字和电话号码；小公司开会视频，带财务报表的那种；小学生上网课，孩子的脸、声音和样貌细节都能看见。很多视频都包含个人可识别信息，还有在家里进行的很多私密谈话，甚至还有美容师传授脱毛技巧的裸露视频。

命名方式单一安全性差

Zoom在视频通话时，默认状态下是不会录制视频的，但是会议主持人可以无需参加者同意录制视频保存在Zoom服务器或任何云端、公开网站，而且，录制好的Zoom视频都是相同的命名方式保存。

Jackson就发现了这个问题，并用免费的在线搜索引擎扫描了一下开放的云存储空间，在默认命名规则下，一次性搜索出了15000个视频。另外，还有一些视频保存在未受保护的Amazon存储桶中，用户无意间改成了公开访问，YouTube和Vimeo也能找到Zoom视频。

15000个视频就足以说明这不是用户的粗心大意，而是产品的设计问题。Zoom的设计师绕过了一些视频聊天程序常用的安全保护功能，如要求用户在保存视频时使用唯一的文件名。Zoom默认单一的命名方式是简单好操作，但也更容易受到黑客攻击。

Jackson称：“Zoom应该在提醒用户保护好视频方面做得更好，在设计上做一些调整，例如使用一种无法预测的方式命名视频，让视频能难在公开领域找到。”

Zoom发言人随后发表了一份声明，建议用户在视频录音上传时要谨慎行事：