曉查 郭一璞 發自 凹非寺 量子位 報道 | 公衆号 QbitAI

Zoom，現在是風口浪尖上的企業了。

疫情一來，用戶數和股價齊飛，但問題也出現的不要太頻繁。

一方面進入隐私洩露危機，一方面又因為有中國的公司和服務器而被質疑。

但，使用Zoom的用戶們似乎更慘。昨夜，有媒體曝出53萬Zoom賬号密碼被公開在暗網叫賣，而且價格特别便宜，1個賬号隻賣0.002美分，總共才10美元左右。

換算成人民币，差不多一個賬号0.00014元，1分錢能買71個。

要知道，開Zoom會員，一個賬号一個月就要19.99美元（140元人民币）啊！注意這個價格不是年費，是月費，比視頻網站外賣網站貴好多好多倍。

而且，這些被公開出售的賬号，還有不少是來自花旗銀行、佛羅裡達大學等知名機構的。

可是，Zoom的股價在被曝出消息後還大漲了。

真是難為這些用戶了，不好用，還沒得選。

撞庫獲得53萬賬戶密碼

用戶賬号密碼洩露的消息，來自網絡安全公司Cyble。這家公司日常一直在監控暗網，好發現有沒有自己的客戶信息洩露或者被盜号。

這次，Cyble發現，在黑客網站上，有人開始賣Zoom賬号了，總數53萬個。

除了用來賣的部分，黑客還挑出了290個“試用裝”免費發布，這些賬号來自佛蒙特大學、科羅拉多大學、佛羅裡達大學等多所高校。

△ “試用裝”賬戶

美國媒體BleepingComputer聯系了部分被免費曝光的用戶，發現其中不少數據都是正确的，而有一位用戶說，這個密碼是他之前用的舊密碼。

這也就意味着，來源是——撞庫。

直白來說，就是在之前的各種賬号密碼洩露的事件中，黑客自己收集了一批賬号密碼，然後挨個在Zoom上試，把試成功的賬号密碼單獨拉個表格拎出來賣。

這就非常尴尬了，53萬賬戶，黑客肯定不會手動去一個一個複制粘貼登錄，這個過程一定是自動進行的，但被撞庫成功，意味着Zoom可能沒有做足充分的保護措施。

Cyble買了這53萬個賬戶，用來給自己的用戶發賬戶洩露風險的提示。

購買的價格是每個0.002美分，總共花費才10.6美元，74塊人民币。

價格不貴，估計也掙不了幾個錢，Cyble說黑客把這些挂出來，主要是為了裝哔——顯得自己很厲害的樣子。

他們發現，每個賬戶被洩露的信息包括郵箱、密碼、個人url地址，還有HostKey——就是作為會議主持人管理會議的6位數PIN碼。

而且，從域名來看，這些用戶包括摩根大通的子公司大通銀行、花旗銀行，還有一些教育機構等等知名公司或機構。

銀行的賬戶被洩露，那可不知道會有多少秘密流出。

所以都這樣了，Zoom知道了嗎？怎麼說？

Zoom：我們一定改，但是得交錢

不僅密碼被盜用，Zoom的服務器地址也被诟病。

多倫多大學之前就發現，使用Zoom的幾個人明明都在北美，但是會議數據卻要通過中國服務器。

還有會議的密鑰是在中國的服務器上生成的。

想象一下，如果是中國人在國内開會，但是數據全都經過美國，密鑰也在美國生成，難免不讓人懷疑啊，所以用戶當然不幹了。

在外界的質疑聲中，Zoom隻好加入給用戶選擇任意選擇服務器的功能，前提是付費，免費用戶仍然沒有選擇的權利。

至于為何要用中國服務器，Zoom CEO袁征也公開解釋，因為新冠疫情，導緻用戶數量激增，去年12月每日用戶才1000萬，今年3月已經增長到2億，需要大量增加服務器。

所以Zoom才不得不去選擇中國的服務器，因為沒有考慮到地理因素，某些會議可能會被鍊接到中國的服務器上。

但這種解決問題的進度，現在網友們可等不了。

都已經在給Zoom提供“抄作業”參考了。

網友：抄下開源軟件的作業吧

既然想用高級功能還要加錢，那就隻能讓部分用戶叛逃了。Zoom不安全又不免費，那就找個更安全的免費軟件替代它吧。

國外飽受Zoom折磨的網友推薦使用開源軟件Jitsi Meet，不僅免費，而且更安全。更重要是讓Zoom看看，人家一個免費軟件是如何做加密的，Zoom好好學着點。

和其他視頻會議軟件一樣，Jitsi Meet用戶隻需分享一段網址即可組織視頻會議。

但與Zoom不同的是，如果你僅知道這個網址，是無法侵入會議現場的，打開後也隻能看到一片片“雪花”。

這是因為你沒有端到端的密鑰。參加會議的唯一方法是擁有端到端密鑰的特權。然後在網址之後加入一段密鑰，就能看見其他同事啦。

每個人密鑰都不相同，有幾個人參會就有幾組密鑰，視頻内容都是在本地完成加密和解密。

以上隻是官方的一個演示，考慮到浏覽器記錄可能會洩露你的密鑰，Jitsi下一步将考慮使用新的算法處理密鑰的交換和管理方式，進一步提高安全性。

Jitsi Meet不是什麼跟風之作，而且要說到曆史，Zoom也得叫前者一聲大哥。

Zoom公司是2011年才創立，而Jitsi Meet早在2003年就有了，最初還是斯特拉斯堡大學在讀博士生Emil Ivov的項目。

△ Emil Ivov

沒錯，這個斯特拉斯堡就是那個誕生“白色相簿”的地方，不知道袁征看到了Emil Ivov，會不會問一句：“你為什麼這麼熟練啊？”

因為最近的疫情，加上Zoom不給力，Jitsi Meet開源項目又火了起來，短短幾天之内GitHub上的活躍度大增。

真是Emil Ivov和一衆網友用熟練的技巧教袁征如何做軟件。

求助一則

不過，Zoom短時間能改完安全漏洞嗎？

看起來是難了。

但更難的是疫情之下把Zoom等視頻會議當剛需的企業和用戶。

比如我們量子位，編輯部就離不開Zoom，但現在每天目見耳聞這樣的隐私安全漏洞，又怎能安心？

現如今真是騎虎難下，Zoom有隐私安全問題，但流暢度、使用體驗和跨國遠程協作都很好，要“遷移”就得找個一樣的體驗、更好的安全的軟件。

那麼，你（或者貴司）用的是哪款軟件呢，在評論區告訴我們吧~

— 完 —

量子位 QbitAI · 頭條号簽約作者

關注我們，第一時間獲知前沿科技動态