Zoom 数万私人视频被公开，被曝加密技术造假

因新冠疫情，视频会议软件使用量激增，其中的表明性产品 Zoom 的日活跃用户，从去年 12 月份的 1000 万人激增到如今的2亿人。

但近日，华盛顿邮报报道 Zoom 存在的重大安全漏洞，数以万计的私人 Zoom 视频被上传至公开网页，任何人都可在线围观。

向华盛顿邮报爆料的是美国国家安全局的前研究员帕特里克·杰克逊（Patrick Jackson），他爆料称在开放的云存储空间中一次性搜到了 15000 个 Zoom 视频。

此外，加拿大多伦多大学公民实验室的研究人员对软件进行了逆向工程，发现该公司在加密方案上有虚假宣传。Zoom 称其会议使用 AES-256 加密，但实际上只在 ECB 模式下使用了简单的 AES-128 密钥，密钥由 Zoom 的服务器产生。

Zoom 还声称使用端对端加密，但事实上距离真正的端对端加密还比较遥远，该公司对端对端加密的定义与一般的定义有差距。

种种安全事件频繁发生后，Zoom 受到了全球用户的批评。所以，Zoom 宣布暂停任何新功能的开发，以专一于安全和隐私问题。企业创始人袁征表示，该公司为解决安全疑虑而采起以下的步骤：

• 对加密方法进行说明
• 删除从 iOS 应用到脸书的共享代码
• 发布与 Mac 相关问题的修复程序
• 删除与领英网站（LinkedIn）之链接，以防止没必要要的数据泄露
• 发布如何避免成为「Zoom 轰炸」受害者的说明

在接下来的 90 天内，该公司又计划：

• 暂时冻结新功能开发，以专一于安全和隐私
• 与独立专家进行审查，以了解新客户所需的新安全功能
• 编写有关数据请求的透明度报告
• 扩大其“漏洞赏金”计划
• 每周举行一次网络研讨会，以提供隐私和资讯安全更新

袁征坦言，若是安全问题不解决，甚至会考虑开源 Zoom 代码。