編者按：本文來源創(chuàng)業(yè)邦專欄量子位，作者曉查 郭一璞。

Zoom，現(xiàn)在是風(fēng)口浪尖上的企業(yè)了。

疫情一來，用戶數(shù)和股價(jià)齊飛，但問題也出現(xiàn)的不要太頻繁。

一方面進(jìn)入隱私泄露危機(jī)，一方面又因?yàn)橛兄袊墓竞头?wù)器而被質(zhì)疑。

但，使用Zoom的用戶們似乎更慘。昨夜，有媒體曝出53萬Zoom賬號密碼被公開在暗網(wǎng)叫賣，而且價(jià)格特別便宜，1個(gè)賬號只賣0.002美分，總共才10美元左右。

換算成人民幣，差不多一個(gè)賬號0.00014元，1分錢能買71個(gè)。

要知道，開Zoom會員，一個(gè)賬號一個(gè)月就要19.99美元（140元人民幣）??！注意這個(gè)價(jià)格不是年費(fèi)，是月費(fèi)，比視頻網(wǎng)站外賣網(wǎng)站貴好多好多倍。

而且，這些被公開出售的賬號，還有不少是來自花旗銀行、佛羅里達(dá)大學(xué)等知名機(jī)構(gòu)的。

可是，Zoom的股價(jià)在被曝出消息后還大漲了。

真是難為這些用戶了，不好用，還沒得選。

撞庫獲得53萬賬戶密碼

用戶賬號密碼泄露的消息，來自網(wǎng)絡(luò)安全公司Cyble。這家公司日常一直在監(jiān)控暗網(wǎng)，好發(fā)現(xiàn)有沒有自己的客戶信息泄露或者被盜號。

這次，Cyble發(fā)現(xiàn)，在黑客網(wǎng)站上，有人開始賣Zoom賬號了，總數(shù)53萬個(gè)。

除了用來賣的部分，黑客還挑出了290個(gè)“試用裝”免費(fèi)發(fā)布，這些賬號來自佛蒙特大學(xué)、科羅拉多大學(xué)、佛羅里達(dá)大學(xué)等多所高校。

△ “試用裝”賬戶

美國媒體BleepingComputer聯(lián)系了部分被免費(fèi)曝光的用戶，發(fā)現(xiàn)其中不少數(shù)據(jù)都是正確的，而有一位用戶說，這個(gè)密碼是他之前用的舊密碼。

這也就意味著，來源是——撞庫。

直白來說，就是在之前的各種賬號密碼泄露的事件中，黑客自己收集了一批賬號密碼，然后挨個(gè)在Zoom上試，把試成功的賬號密碼單獨(dú)拉個(gè)表格拎出來賣。

這就非常尷尬了，53萬賬戶，黑客肯定不會手動去一個(gè)一個(gè)復(fù)制粘貼登錄，這個(gè)過程一定是自動進(jìn)行的，但被撞庫成功，意味著Zoom可能沒有做足充分的保護(hù)措施。

Cyble買了這53萬個(gè)賬戶，用來給自己的用戶發(fā)賬戶泄露風(fēng)險(xiǎn)的提示。

購買的價(jià)格是每個(gè)0.002美分，總共花費(fèi)才10.6美元，74塊人民幣。

價(jià)格不貴，估計(jì)也掙不了幾個(gè)錢，Cyble說黑客把這些掛出來，主要是為了裝嗶——顯得自己很厲害的樣子。

他們發(fā)現(xiàn)，每個(gè)賬戶被泄露的信息包括郵箱、密碼、個(gè)人url地址，還有HostKey——就是作為會議主持人管理會議的6位數(shù)PIN碼。

而且，從域名來看，這些用戶包括摩根大通的子公司大通銀行、花旗銀行，還有一些教育機(jī)構(gòu)等等知名公司或機(jī)構(gòu)。

銀行的賬戶被泄露，那可不知道會有多少秘密流出。

所以都這樣了，Zoom知道了嗎？怎么說？

Zoom：我們一定改，但是得交錢

不僅密碼被盜用，Zoom的服務(wù)器地址也被詬病。

多倫多大學(xué)之前就發(fā)現(xiàn)，使用Zoom的幾個(gè)人明明都在北美，但是會議數(shù)據(jù)卻要通過中國服務(wù)器。

還有會議的密鑰是在中國的服務(wù)器上生成的。

想象一下，如果是中國人在國內(nèi)開會，但是數(shù)據(jù)全都經(jīng)過美國，密鑰也在美國生成，難免不讓人懷疑啊，所以用戶當(dāng)然不干了。

在外界的質(zhì)疑聲中，Zoom只好加入給用戶選擇任意選擇服務(wù)器的功能，前提是付費(fèi)，免費(fèi)用戶仍然沒有選擇的權(quán)利。

至于為何要用中國服務(wù)器，Zoom CEO袁征也公開解釋，因?yàn)樾鹿谝咔?，?dǎo)致用戶數(shù)量激增，去年12月每日用戶才1000萬，今年3月已經(jīng)增長到2億，需要大量增加服務(wù)器。

所以Zoom才不得不去選擇中國的服務(wù)器，因?yàn)闆]有考慮到地理因素，某些會議可能會被鏈接到中國的服務(wù)器上。

但這種解決問題的進(jìn)度，現(xiàn)在網(wǎng)友們可等不了。

都已經(jīng)在給Zoom提供“抄作業(yè)”參考了。

網(wǎng)友：抄下開源軟件的作業(yè)吧

既然想用高級功能還要加錢，那就只能讓部分用戶叛逃了。Zoom不安全又不免費(fèi)，那就找個(gè)更安全的免費(fèi)軟件替代它吧。

國外飽受Zoom折磨的網(wǎng)友推薦使用開源軟件Jitsi Meet，不僅免費(fèi)，而且更安全。更重要是讓Zoom看看，人家一個(gè)免費(fèi)軟件是如何做加密的，Zoom好好學(xué)著點(diǎn)。

和其他視頻會議軟件一樣，Jitsi Meet用戶只需分享一段網(wǎng)址即可組織視頻會議。

但與Zoom不同的是，如果你僅知道這個(gè)網(wǎng)址，是無法侵入會議現(xiàn)場的，打開后也只能看到一片片“雪花”。

這是因?yàn)槟銢]有端到端的密鑰。參加會議的唯一方法是擁有端到端密鑰的特權(quán)。然后在網(wǎng)址之后加入一段密鑰，就能看見其他同事啦。

每個(gè)人密鑰都不相同，有幾個(gè)人參會就有幾組密鑰，視頻內(nèi)容都是在本地完成加密和解密。

以上只是官方的一個(gè)演示，考慮到瀏覽器記錄可能會泄露你的密鑰，Jitsi下一步將考慮使用新的算法處理密鑰的交換和管理方式，進(jìn)一步提高安全性。

Jitsi Meet不是什么跟風(fēng)之作，而且要說到歷史，Zoom也得叫前者一聲大哥。

Zoom公司是2011年才創(chuàng)立，而Jitsi Meet早在2003年就有了，最初還是斯特拉斯堡大學(xué)在讀博士生Emil Ivov的項(xiàng)目。

沒錯(cuò)，這個(gè)斯特拉斯堡就是那個(gè)誕生“白色相簿”的地方，不知道袁征看到了Emil Ivov，會不會問一句：“你為什么這么熟練啊？”

因?yàn)樽罱囊咔椋由蟌oom不給力，Jitsi Meet開源項(xiàng)目又火了起來，短短幾天之內(nèi)GitHub上的活躍度大增。

真是Emil Ivov和一眾網(wǎng)友用熟練的技巧教袁征如何做軟件。

求助一則

不過，Zoom短時(shí)間能改完安全漏洞嗎？

看起來是難了。

但更難的是疫情之下把Zoom等視頻會議當(dāng)剛需的企業(yè)和用戶。

現(xiàn)如今真是騎虎難下，Zoom有隱私安全問題，但流暢度、使用體驗(yàn)和跨國遠(yuǎn)程協(xié)作都很好，要“遷移”就得找個(gè)一樣的體驗(yàn)、更好的安全的軟件。

本文為專欄作者授權(quán)創(chuàng)業(yè)邦發(fā)表，版權(quán)歸原作者所有。文章系作者個(gè)人觀點(diǎn)，不代表創(chuàng)業(yè)邦立場，轉(zhuǎn)載請聯(lián)系原作者。如有任何疑問，請聯(lián)系editor@cyzone.cn。