352名Zoom用户资料在暗网遭盗卖 Google禁员工使用

防疫在家上班潮兴起，远端线上会议的Zoom成为近期宠儿，但是持续爆发资安问题，引发疑虑。(Zoom提供／黄慧雯台北传真)

因新冠肺炎(COVID-19)冲击而衍生的在家工作、远距教学潮流，带动了包含 Zoom、Microsoft Team、Google Hangout Meets 等视讯会议工具的兴起。然而其中的 Zoom 近期陆续爆发严重资安问题，让用户对它的好感骤降，成为近期热议焦点。外媒报导发现竟然有超过 3 百名 Zoom 用户的资料在暗网(Dark web)被盗卖，令人对于它的安全性更感忧心。

《Mashable》报导，网路安全机构 Sixgill 的分析师 Dov Lerner 发现，有 352 名 Zoom 用户的帐号资料遭到盗取，并且在暗网(无法被一般搜寻引擎索引，只能使用特殊软体、特殊授权才能存取的网路)被转卖，当中包含了电子邮件信箱以及帐号密码、会议ID、还有主办人姓名等资料。其中，被盗卖的 Zoom 用户资料还被分级，包含付费购买企业版或商用版的种类，显示这些帐号具有更高的价值。

分析师 Dov Lerner 指出，这些遭到盗卖的 Zoom 用户资料，主要都是个人用户，大多来自使用 Zoom 来进行线上教学与视讯会议的教育机构以及小型公司团体；其中，他还发现有一名用户是美国主要医疗保健用品的供应商。

Zoom 是以主打视讯会议功能起家的服务，提供免费版单次会议时间 40 分钟、企业版则没有限制时间的服务。疫情期间，Zoom 还将免费版同时会议人数上限从 10 人调升为 100 人，因此当在家工作、远距教学潮兴起时，成为不少机构与个人的选项之一。不过却持续爆发资安疑虑，包含美国联邦调查局(FBI)提醒，Zoom 因为爆红已经成为网路犯罪者的最新目标；前国家安全局(NSA)员工、兼网路安全研究者Patrick Wardle则是发现 Zoom 的 Mac 版本存在一个漏洞，会让电脑的摄影镜头以及麦克风更容易被骇客入侵。此外还包含 Zoom iOS版使用了 Facebook 软体开发套件(SDK)而会向 Facebook 传送许多非必要资讯(设备荧幕尺寸、系统版本等等)资料(此问题已修复)，资安问题不断。

因此，行政院也在 4 月 7 日通函各公务机关及特定非公务机关，若因业务需求必须召开远端视讯会议，不应使用具资通安全疑虑的产品，例如ZOOM。后续也要求各级学校不要用ZOOM来进行远距教学。中华电信也宣布停售 Zoom 相关产品。

此外，继先前美国太空总署(NASA)以及太空探索技术公司(SpaceX)纷纷宣布禁止员工使用 Zoom 之后，《Business Insider》也报导，Google 也因为 Zoom 的资安疑虑，禁止员工使用 Zoom。

针对 Zoom 所爆发的一连串资安问题，Zoom CEO 袁征(Eric Yuan)在稍早之前进行的 YouTube 直播中，也直接向公众道歉，并且直接回答网路问题长达两个多小时。针对产品所包含的资安疑虑，Zoom 已经透过官方部落格宣布，未来 90 天内将会暂停更新产品，专注于修复资安相关问题，并且将针对如何避免「zoombombing」(未经邀请的使用者突然加入视讯会议、且发表色情内容或种族歧视言论的新兴问题)提出解决方法。