【學苑專訊】視像會議軟件Zoom於武漢肺炎疫情肆虐下獲全球各地大量機構及民眾採用,惟近日Zoom被揭發有嚴重資訊保安漏洞。就此,香港大學資訊科技服務(Information Technology Services,ITS)於昨日(4月3日)以電郵向教職員及學生回應事件。
電郵中引用了私隱專員公署就Zoom資訊保安漏洞所發佈的新聞稿[1],並續指校方所使用的Zoom採用單一登入(Single Sign On)的系統。故此,除電郵地址外,港大用戶的個人資料並不會被Zoom的雲端系統保存。ITS亦建議用家於使用HKU Portal帳戶登入Zoom時,以單一登入的方式進入視像會議,以及更新Zoom至最新版本。
於私隱專員公署的新聞稿內,私隱專員建議使用者將Zoom更新到最新版本;以專為Zoom而建立的帳戶登入,盡量避免使用現有的其他帳戶作登入,以減低個人資料遭轉移或外洩的風險;為會議設置密碼,而會議密碼及其連結應只給予與會者;密切注意帳戶任何異常活動,以及保留所造成的任何損失的紀錄,以便將來有需要跟進時有紀錄可循。
本刊亦訪問了教委會現任本科生代表温銘賢及大學事務委員會署理主席伍泳溵,問及他們對校方回應有何看法時,温表示認為校方回應還可以,但校方應在發現問題時及早通知學生和強調事件;伍則指校方有注意問題及通知學生是好事,亦表示會繼續監察事件。至於被問到認為校方應否暫時停用Zoom或改用其他視像會議軟件時,温指他並無此方面的專門知識,但認為即使改用軟件與否,校方都應確保軟件安全才予學生及教職員使用,ITS亦應對有機會發生的入侵事件或資料傳送提高警惕,或再次檢查在這些平台上的保安問題;伍表示若發現單一登入的方式未能保障安全時,校方可考慮改用其他視像會議軟件。最後,温指暫時未有收到同學就Zoom的資訊保安問題求助。
Zoom被SpaceX、NASA禁用 被發現不時把加密金鑰傳至位於中國伺服器
美國聯邦調查局(Federal Bureau of Investigation,FBI)早於3月30日就不同Zoom用戶的視像會議被入侵(”Zoom-bombing”)一事發佈新聞稿[2],隨後美國公司SpaceX及美國太空總署(National Aeronautics and Space Administration,NASA)亦禁止其員工使用Zoom。此外,外國科技新聞網站《The Verge》在其於4月2日刊登的報道指出,研究人員可透過自動工具於一小時內找到約百個不受密碼保護的Zoom視像會議識別碼,同時獲得會議的連結、舉行日期、時間、舉辦者及會議議題[3]。美國商業雜誌《福布斯》(Forbes)亦於4月3日報道加拿大研究[4][5],指出Zoom使用了128位元長度的進階加密標準金鑰(AES-128),以電子密碼本(Electronic Codebook)方式為其用戶的語音及視像資料進行加密及解密。研究報告續指,有關金鑰看似由Zoom的伺服器產生,足以解密在互聯網上截取到的Zoom數據包。惟即使所有會議上的用戶及使用者的公司均位於中國境外,Zoom仍然會不時把上述的加密金鑰先傳送至位於中國的伺服器,才傳送到視像會議的用戶端。
Zoom公司創辦人、現任行政總裁袁征於4月1日就Zoom的資訊保安未達期望致歉,並表示會於未來九十日專注於主動確認、解決及改進Zoom的不同問題,有關措施包括即時暫停開發Zoom的新功能,並把所有工程資源用於解決私隱及保安問題;與第三方專家及用戶代表舉行綜合審查,以了解及確保所有新使用者用例(use case)的安全;準備透明度報告以詳述有關數據、記錄或內容請求的資料等[6]。Zoom亦早於3月29日更新其私隱政策,強調並不會出售用戶的個人資料,亦不會在未有被視像會議主持人要求下監察或保存任何視像會議,或把用戶使用Zoom所製造的資訊用於任何推銷用途[7]。
資料來源:
[1] 私隱專員公署新聞稿:https://bit.ly/3bZHOQH
[2] 美國聯邦調查局新聞稿:https://bit.ly/2UDXBOW
[3]《The Verge》報道:https://bit.ly/2XhHSHp
[4]《福布斯》報道:https://bit.ly/3bP6MSB
[5] 加拿大研究(The Citizen Lab):https://bit.ly/2JycyMp
[6] Zoom行政總裁袁征聲明:https://bit.ly/3dRziVC
[7] Zoom私隱政策:https://zoom.us/privacy