FTC 宣布与 Zoom 就许多所谓的安全缺陷达成全面和解。 作为协议的一部分,Zoom 既不承认也不否认任何指控。
对安全问题的指控包括令人瞠目结舌的安全漏洞,例如将私人录音存储在未加密的云存储中,以及没有简单的暴力登录缓解策略。
该协议要求 Zoom 进行旨在提高安全性的更改。
其中一些更改非常基本,例如减少暴力破解密码猜测,这让人怀疑 Zoom 是否将任何资源用于用户安全。
针对 Zoom 的几项主要指控包括:
- 在安全级别上误导用户
- 云中录音的未加密存储
- 绕过 Safari 浏览器安全性
- 视频监控风险增加
- 欺骗性软件发布通知
虚假的安全感
FTC 的投诉称,Zoom 的做法给消费者带来了虚假的安全感。
根据联邦贸易委员会:
“在众多博客文章中,Zoom 专门吹捧其加密水平,作为客户和潜在客户使用 Zoom 视频会议服务的原因。
美国联邦贸易委员会消费者保护局局长安德鲁·史密斯。 “Zoom 的安全措施与其承诺不符,这一行动将有助于确保 Zoom 会议和有关 Zoom 用户的数据受到保护。”
Zoom 据称增加了视频监控的风险
FTC 可能是最令人不安的指控,称 Zoom 的安全措施增加了陌生人访问私人视频的可能性。
联邦贸易委员会声称:
“……Zoom没有采取任何对冲措施来保护用户的安全,增加了用户被陌生人远程视频监控的风险。 即使在用户删除 Zoom 应用程序后,该软件仍保留在用户的计算机上,并且在某些情况下会自动重新安装 Zoom 应用程序——无需任何用户操作。
投诉称,Zoom 在没有充分通知或用户同意的情况下部署 ZoomOpener 是不公平的,并且违反了 FTC 法案。”
误导用户的安全性
FTC 声称 Zoom 在向用户保证“端到端的 256 位加密”时对用户撒谎,而实际上 Zoom 使用的加密程度较低。 端到端加密是指发送的数据在每一端都是安全的,只有用户可以访问信息。
FTC 声称情况并非如此,Zoom 能够闯入私人 Zoom 会议,并且隐私级别低于他们宣传的水平。
未加密的云存储
也许对 Zoom 最令人惊讶的指控是私人视频未加密地存储在云中。
这就是联邦贸易委员会的投诉所指称的:
“Zoom 还误导了一些想要在公司云存储上存储会议记录的用户,他们谎称这些会议在会议结束后立即被加密。
相反,据称一些录音在被转移到其安全的云存储之前,在 Zoom 的服务器上未加密存储长达 60 天。”
FTC 拟议协议
FTC 提案中有许多 Zoom 必须遵守的安全相关活动。 所有这些似乎都相当基本和常识。
以下是安全要求的概述:
- 年度安全评估
- 制定防范安全风险的方法
- 建立漏洞管理计划
- 创建策略以防止在线攻击
- 创建防止未经授权访问其网络的安全措施
- 两年一次的第三方安全评估
黑客保护
一些必需的东西似乎很基本,人们不得不想知道为什么 Zoom 一开始就没有这些功能。 例如,其中一项功能是登录尝试的速率限制。
速率限制是检测称为 Bot 的软件程序何时快速请求网页并阻止它们访问网站的过程。 阻止这些类型的机器人有助于防止他们试图猜测密码是什么。
许多网络内容管理系统包括不同形式的速率限制,或者可以通过插件来实现。 所以令人惊讶的是,Zoom 必须被要求使用它,这是所有网站都应该拥有的安全 101 级别的安全性。
例如,名为 phpBB 的开源论坛软件内置了基本的速率限制,可以在一定次数的登录尝试后启动反垃圾邮件程序措施。
WordPress 发布者拥有大量插件,可以限制机器人尝试猜测密码然后阻止他们访问网站的次数。
FTC 要求 Zoom 制定政策以防止在线攻击(如密码猜测攻击),要求 Zoom 用户使用强密码,开始使用机器人识别程序来阻止黑客攻击登录、限制登录尝试和强制凭据被泄露时密码重置。
以上都是合理的反黑客措施。
建立漏洞管理计划
FTC 协议还要求 Zoom 采取主动安全措施,如季度安全扫描,并进行第三方安全评估和压力测试。 压力测试是指安全公司检查和探测站点是否存在安全问题。
这是 FTC 描述季度扫描的方式:
“至少每季度对受访者的网络和系统进行漏洞扫描……”
Zoom 同意从现在开始保护用户
总之,该协议要求 Zoom 开始合理的安全相关任务和活动。
考虑到 Zoom 被重视安全的公司以及期望隐私的消费者所使用,这些措施应该有助于防止重大安全漏洞,这对 Zoom 及其客户都有好处。
“Zoom 已同意建立和实施全面的安全计划、禁止隐私和安全虚假陈述以及其他详细和具体的救济措施以保护其用户群,该用户群已从 2019 年 12 月的 1000 万飙升至 4 月的 3 亿2020 年 COVID-19 大流行期间。”
