352名Zoom用戶資料在暗網遭盜賣 Google禁員工使用

防疫在家上班潮興起，遠端線上會議的Zoom成爲近期寵兒，但是持續爆發資安問題，引發疑慮。(Zoom提供／黃慧雯臺北傳真)

因新冠肺炎(COVID-19)衝擊而衍生的在家工作、遠距教學潮流，帶動了包含 Zoom、Microsoft Team、Google Hangout Meets 等視訊會議工具的興起。然而其中的 Zoom 近期陸續爆發嚴重資安問題，讓用戶對它的好感驟降，成爲近期熱議焦點。外媒報導發現竟然有超過 3 百名 Zoom 用戶的資料在暗網(Dark web)被盜賣，令人對於它的安全性更感憂心。

《Mashable》報導，網路安全機構 Sixgill 的分析師 Dov Lerner 發現，有 352 名 Zoom 用戶的帳號資料遭到盜取，並且在暗網(無法被一般搜尋引擎索引，只能使用特殊軟體、特殊授權才能存取的網路)被轉賣，當中包含了電子郵件信箱以及帳號密碼、會議ID、還有主辦人姓名等資料。其中，被盜賣的 Zoom 用戶資料還被分級，包含付費購買企業版或商用版的種類，顯示這些帳號具有更高的價值。

分析師 Dov Lerner 指出，這些遭到盜賣的 Zoom 用戶資料，主要都是個人用戶，大多來自使用 Zoom 來進行線上教學與視訊會議的教育機構以及小型公司團體；其中，他還發現有一名用戶是美國主要醫療保健用品的供應商。

Zoom 是以主打視訊會議功能起家的服務，提供免費版單次會議時間 40 分鐘、企業版則沒有限制時間的服務。疫情期間，Zoom 還將免費版同時會議人數上限從 10 人調升爲 100 人，因此當在家工作、遠距教學潮興起時，成爲不少機構與個人的選項之一。不過卻持續爆發資安疑慮，包含美國聯邦調查局(FBI)提醒，Zoom 因爲爆紅已經成爲網路犯罪者的最新目標；前國家安全局(NSA)員工、兼網路安全研究者Patrick Wardle則是發現 Zoom 的 Mac 版本存在一個漏洞，會讓電腦的攝影鏡頭以及麥克風更容易被駭客入侵。此外還包含 Zoom iOS版使用了 Facebook 軟體開發套件(SDK)而會向 Facebook 傳送許多非必要資訊(設備熒幕尺寸、系統版本等等)資料(此問題已修復)，資安問題不斷。

因此，行政院也在 4 月 7 日通函各公務機關及特定非公務機關，若因業務需求必須召開遠端視訊會議，不應使用具資通安全疑慮的產品，例如ZOOM。後續也要求各級學校不要用ZOOM來進行遠距教學。中華電信也宣佈停售 Zoom 相關產品。

此外，繼先前美國太空總署(NASA)以及太空探索技術公司(SpaceX)紛紛宣佈禁止員工使用 Zoom 之後，《Business Insider》也報導，Google 也因爲 Zoom 的資安疑慮，禁止員工使用 Zoom。

針對 Zoom 所爆發的一連串資安問題，Zoom CEO 袁徵(Eric Yuan)在稍早之前進行的 YouTube 直播中，也直接向公衆道歉，並且直接回答網路問題長達兩個多小時。針對產品所包含的資安疑慮，Zoom 已經透過官方部落格宣佈，未來 90 天內將會暫停更新產品，專注於修復資安相關問題，並且將針對如何避免「zoombombing」(未經邀請的使用者突然加入視訊會議、且發表色情內容或種族歧視言論的新興問題)提出解決方法。