居家辦公已是企業抗疫的必備新手段,而提醒使用者注意遠端工作安全,也成這段期間的關注重點,特別的是,在一開始就有資安業者提醒Zoom用戶的使用安全,主要是指出需注意不速之客闖入,與未設會議密碼等相關問題。不過,沒想到的是在3月下旬,視訊會議Zoom成為資安焦點,並且爆出了一連串的隱私與資安問題。
之前資安業者Check Point就發布了安全使用Zoom的四大注意事項,包括隨時更新軟體、啟用會議密碼、管理與會者發言,以及隨時為會議記錄影片洩漏做好準備,然而在Zoom用戶暴增後,也成為駭客下手的新目標。
安全廠商Cyble向BleepingComputer透露,該公司在本月初發現有人在暗網上,公布Zoom用戶個資,他先是以文字張貼數百筆用戶電子郵件和密碼,以便在這個論壇上打開名氣,之後便有資安公司出價1000美元左右輕鬆購買到53萬筆用戶個資,包括電子郵件、密碼、Meeting URL及主持人密鑰等。其中不乏知名金融公司如摩根大通、花旗銀行及學校等機構用戶。
由於攻擊者利用Google或LinkedIn即可辨識出Zoom帳號主人,然後就能以這些資訊冒充用戶,進行商業電子郵件詐騙(Business Email Compromise,BEC)攻擊,要求被害者同事轉帳,或是分享重要的檔案或資訊,因此安全廠商呼籲用戶必須確認自己在每個網站的帳密,都不可以重複用於其他服務帳號。使用者也可以到Have I Been Pwned https://haveibeenpwned.com/資料外洩通知服務,輸入自己的電子郵件測試是否曾經外洩。
Zoom也因資安漏洞被公佈後一律被台灣政府及教育部禁止使用,國外也有許多國家開始禁用了,但有愈來愈多的視訊會議軟體提供在防疫期間有限度的免費使用,如Skype,Cisco Webex、Google Hangout Meet、GotoMeeting …..等等,但不論使用哪一套,使用者一定要提高資安意識,避免因為錯誤的設定及使用方法,再讓個資外洩而損失慘重。
詳文請見ithome 原文新聞稿