Zoom再爆资安争议!352个帐号个资在暗网遭盗卖
远距视讯会议软体Zoom在远距需求提升之际爆出资疑虑,全球已陆续有不少机构相继宣布禁用,不过网路安全机构发现,已有数百个Zoom帐号资讯被盗取在暗网(dark web)上转售,包括帐号持有者的电子邮件地址、密码、会议ID及主机密钥、名称等。
据科技网站《Mashable》报导,以色列网路安全机构Sixgill发现,有352个Zoom用户帐号资料遭盗取,并于暗网上转卖,除了电子邮件地址等资讯外,被窃取的帐号还分别被标记了不同的帐号类型,这意味着,部分被窃取的帐号可能是付费购买高阶方案的用户。
Sixgill安全研究负责人勒纳(Dov Lerner)出示一张暗网讨论区截图,从中可以看到许多网友对盗取这些Zoom帐号者表示感谢,「其中还有一个人说要去恶搞这些视讯会议。」但恶搞只能算是恶作剧程度的小伤害,这些资讯也可能被利用来窃听企业或个人的机密会议内容或伪造身分等进行各种恶意行为。
据Sixgill的报告,随然这些被盗取的Zoom帐号大多属于个人帐号,但其中仍有一些帐号来自教育机构及小型企业,甚至其中还有一个帐号为一家美国主要医疗服务提供商所有。
自去年开始,视讯会议平台Zoom便频频爆出资安漏洞,而其中国背景也不免让用户起疑。日前加拿大多伦多大学公民实验室(Citizen Lab)发布报告指出,Zoom有将资料透过非标准的加密方式送往中国大陆伺服器的情况,Zoom执行长袁征(Eric Yuan)已为此出面认错,称相关问题已被解决,但许多机构基于安全考量,仍宣布将暂停使用Zoom。
此前,资安专家曾警告,Zoom会在用户不知情的情况下将用户资讯传送至脸书,也会将用户资料与LinkedIn比对,揭露那些匿名用户的身分。日前该App也被发现一个漏洞,让有心人士得以利用来盗取用户的Windows密码。