快速响应安全问题进行缩放:设置密码并自动启用等候室
尽管目前存在冠状病毒大流行,但世界各地的企业都在努力保持运营,他们面临许多不同的挑战。其中之一就是在每个人都在家的情况下与员工保持联系,因此,使用在线视频会议服务Zoom的人数从2019年12月的1000万增加到后期的2亿多,也就不足为奇了。游行。该平台吸引了网络犯罪分子和安全研究人员的广泛关注也就不足为奇了。经他们自己的承认,负责该平台的人发现这有点不知所措。
确实,他们被迫应对很多问题。安全专家格雷厄姆·克卢利 (Graham Cluley)将Zoom的安全和隐私态度描述为“不够完美”,不难看出他的意思。发现该服务与Facebook共享了很多数据,包括那些没有Facebook帐户的人的详细信息。更糟糕的是,大多数用户对此一无所知。几周前,Zoom解决了该问题,并表示歉意。
后来,记者发现该平台错误地使用了一些技术术语。 Zoom会议主持人有一个选项,如果启用了该选项,则告诉参与者会议实际上是通过常规HTTPS连接运行的,是端到端加密的。对于大多数组织来说,HTTPS连接就足够了,但是Zoom的开发人员承认“端到端加密”这个术语可能误导了某些人,他们第二次道歉。上周,他们再次说“对不起”。
缩放更改了会议的默认设置,以应对缩放爆炸
4月1日,Zoom的首席执行官Eric Yuan使用该平台的博客向用户发布了一条消息,称在过去的几周中,他和他的团队一直在采取新的措施来尝试解决许多问题。其中包括所谓的“zoombombing”。
最近,随着越来越多的Zoom用户吸引了一大批不速之客参加平台上的会议,这个词才被创造出来。问题在于大多数Zoom会议主持人不会使用密码来保护他们的会议。结果,具有会议ID的任何人都可以参加,听别人说什么,甚至共享他们的屏幕。 Zoombomb上在线瑜伽课可能不是什么大问题,但是当您认为该服务由顶级政客使用时,您会发现问题很严重。
缩放用户一直具有阻止不必要的访客进入的机制。如前所述,您可以使用密码保护Zoom会议,作为主持人,您还可以设置“等候室”。您的所有客人都将被放置在其中,直到您手动允许他们进入。
但是,变焦炸弹变成了这样的事实表明,直到最近,大多数用户才开始使用这些选项。不过,现在,他们需要这样做,因为从现在开始,默认情况下将启用密码保护和等候室。
这些操作应对Zoom会议的安全性产生积极影响。但是它们足够了吗?
用户应考虑自己的安全性
Eric Yuan在他的博客文章中公开承认,他所负责的服务做得还不够,无法适当地保护用户的隐私和安全。对于这个事实,他似乎真的很失望,而且他似乎决心要保持纪录。除了默认启用会议的某些安全功能外,Zoom的开发人员还解决了其他隐私问题,Yuan承诺在未来几个月内,重点将不再是引入新功能,而是要确保数以百万计的新功能。 Zoom用户可以安全通信。
至少从表面上看,该平台似乎希望从过去的错误中学习。我们希望用户具有相同的心态,因为他们也对自己的安全负责。
确实,由于Zoom实施了更改,现在应该更好地保护视频会议,但是即使如此,所有的工作都可能由于一个简单的用户错误而被撤消。尽管默认情况下,会议受密码保护,但直接链接的接收者无需身份验证即可访问会议,这意味着与他人共享链接时应格外小心。您也不要忘记,正如我们在这些页面上多次提到的那样,弱密码几乎和没有密码一样好。
尽管采取了新的预防措施,但人们继续批评Zoom未能充分保护其用户的隐私。但是,这些人不会告诉您的是他们是否已经完成了自己的职责。不幸的是,无数的网络安全事件表明,事实并非如此。