文章来自微信民众号：量子位（ID：QbitAI），作者：白交、鱼羊，头图泉源：IC photo

客户花钱找黑客，帮你产物找Bug……这样的客户哪里找？这样的产物事实有怎样的福报？

Zoom，疫情之下最火爆的视频集会产物公司，又上演了影戏一样的商业剧情。

继没实现端到端加密、北美的视频通话绕道中国、一分钱能买71个Zoom账号之后……

风口浪尖上的Zoom，又被其客户Dropbox的前工程师曝出：客户早就对Zoom的平安性感应瑟瑟发抖。

据纽约时报报道，Zoom的客户之一——Dropbox在2018年就最先付钱给顶级黑客，让他们协助找出Zoom的破绽。

效果，不仅平安破绽的数目和严重水平令人感应震惊，在他们将破绽报给Zoom后，Zoom的修复速率也令人头大。

好比，黑客在去年发现了Zoom的一个破绽：通过Zoom，攻击者能够获取苹果macOS用户的计算机控制权。

而Zoom花费了整整三个月的时间，在又有其他黑客发现了这一破绽后，才终于完成了修复。

真魔幻啊，掏钱换掉不香吗？

来自互助伙伴的push

Dropbox和Zoom自2018年起就达成了互助关系。

随后，Dropbox将自身功效跟Zoom举行了整合。

不外，Dropbox照样留了个心眼。出于对视频集会系统破绽危及自身企业平安的考量，Dropbox决议自行监控Zoom的平安破绽。

别人家付费找黑客来debug，找的都是自家的bug。

而Dropbox的破绽赏金设计，却是让黑客给Zoom找破绽。

对此，Dropbox是这样注释的：

在2018年，我们试行了一个设计，将战略互助伙伴和供应商纳入我们的破绽赏金设计。在此设计下，Dropbox会向发现互助伙伴平台中破绽的平安研究职员提供奖励。

效果嘛，也许也无需多言。横竖，连Dropbox自己的工程师都最先下场给Zoom抓虫，并加装了控件来控制Zoom带来的风险。

据纽约时报报道，Dropbox的年度黑客竞赛上，他们搞了一个山寨版Zoom——Vroom， 要求研发职员对其举行破解。而这样做的目的，是教育自家工程师们不要像Zoom那样犯平安错误。

替别人Debug，最终目的固然不止于找出破绽。

Dropbox把这些bug都报给了Zoom，并催着Zoom举行修复。

Dropbox前平安主管Chris Evans就示意，Dropbox这样的早期介入显著帮到了Zoom，否则Zoom爆火之后，破绽问题恐怕会带来更多贫苦。

只不外，Zoom此前修复破绽的速率并不总是让人满足。好比前文提到的针对MacOS的深层攻击，Zoom花了三个月的时间才解决。

甚至，向纽约时报爆料的前Dropbox工程师以为，正是由于未能彻底改造其平安营业，Zoom才陷入了现在的逆境。

对此，Zoom创始人兼CEO袁征曾在2019年7月公布公告，就未能实时回应破绽问题致歉：

在已往90天的研究中，我们错误地判断了形势，反映不够迅速，责任在我们。

不外致歉归致歉，要是那时就完全改好了，也不会在疫情之下被锤爆。

疫情爆红之下的Zoom

短短几个月内，Zoom以一个只服务于公司营业的工作集会工具迅速转变为全球第一的视频软件。

前几天，BondCapital合伙人、“互联网女皇”Mary Meeker公布了最新一期的《互联网趋势讲述》。其中就提到，以Zoom为代表的科技公司成为2020年疫情风口上的宠儿。

用户数暴增20倍，股价也一起狂飙，住手4月20日收盘，Zoom股价为148.99美元。

虽然用户数与股价齐飞，但种种问题也是接踵而至。

Zoombombing、与Facebook共享数据、缺乏端到端加密，服务器要经由中国，黑客叫卖zoom账号一分钱购置71个……

Zoom就这样，一下子处在了风口浪尖上。

固然，也有人为Zoom鸣不平，正是由于用户数一下子暴增的20倍，让Zoom有了许多亘古未有的新用途，信赖没有哪一个视频集会软件能够顶住这一层压力。

前Facebook首席平安官、Zoom平安照料Alex Stamos就示意：Zoom在疫情之中面临很大的转变，公司必须以新的方式去思索隐私和平安问题。

幸亏这一次，面临问题，Zoom不拖沓了。

Grupo Banco Santander网络平安研究负责人Daniel Cuthbert说：“Zoom的破绽很严重，但并非唯一的、特殊的。现在，Zoom迅速采取了行动，这是令人欣喜的行动。”

就在被锤爆后，Zoom公然宣布将住手开发新功效，将在90天的时间内里举行种种问题的修复，并将在每周举行一次钻研会，直接对话Zoom CEO袁征。

这不，已经举行了两次的钻研会，在官网上已经有了集会记录。

先是第一次钻研会上，袁征与5,900多名与会者举行了攀谈，并通过YouTube直播加入了更多与会者。

会上，袁征主要是回覆了一些问题，其中最为主要的就是关于“加密”。

我们使用的是AES加密的方式，密钥是由我们的系统天生的。我们正在开发一项功效，以便从我们的客户那里天生密钥。我们正在将加密从AES-256 ECB升级到AES-256 GCM。未来的45天里，将致力于让每个用户都能够升级程序，使用新功效。

而在第二次的钻研会上，Zoom便有了实质性的希望。

首先是在职员调动上面，新的平安照料Alex Stamos也在会上亮相。

Alex Stamos是前Facebook首席平安官，是斯坦福大学国际平安与互助中央的计算机科学家及兼职教授。

此外，还启动了一个破绽赏金设计。

Zoom将与Luta Security互助，重新启动破绽赏金设计。

Luta Security将通过90天的“康复”设计周全评估Zoom的设计，该设计将涵盖所有内部破绽处置流程。

Luta Security由Katie Moussouris建立。

虽然名字人人生疏，但这小我私家，来头真不小。

她曾在Microsoft、Pentagon上建立了破绽赏金设计，并还直接参与了美国国防部为黑客制订的第一个破绽赏金设计。

看来，Zoom要解决网络平安的问题决心很大呀。

最后，袁征团队也强化了一些平安功效。好比主持人或团结主持人可以使用“锁定集会”、“启用期待室”、更改了视频集会的默认设置、增强了密码的复杂性等等。

甚至还对外公然了内部工作设计时间表。

这一次，看起来是至心改过了。

然则，随着疫情对视频集会软件的催熟。

现在Zoom面临的竞争形势大变，不说微软和谷歌等巨头纷纷加码，加大在视频集会方面的投入和产物体验提升。

一众中国公司，也纷纷“揭竿而起”，腾讯集会、字节跳动飞书、阿里云集会……就连百度内部IM工具百度Hi、网易内部IM工具，都纷纷传出要“对外开放”的阵容。

留给Zoom的时间，不多了。

留给客户的可选项则更多了，流通、平安，更要免费……Zoom之前“独享”的蛋糕，现在竞争可是空前猛烈的。

对了，你们视频集会，用的啥软件嘞？

参考链接

https://www.nytimes.com/2020/04/20/technology/zoom-security-dropbox-hackers.htmlhttps://www.businessinsider.com/zoom-security-flaw-hackathon-dropbox-2020-4https://www.reuters.com/article/us-health-coronavirus-videoconferencing/explainer-zoom-bombs-make-choosing-video-apps-harder-for-lockdown-chats-idUSKBN2222M0https://blog.zoom.us/wordpress/2019/07/10/security-update-and-our-ongoing-efforts/

 

文章来自微信民众号：量子位（ID：QbitAI），作者：白交、鱼羊