視頻會議軟件公司 Zoom 的安全問題再受質疑,繼早前被指軟件有明顯漏洞,易被黑客入侵攻擊後,加拿大多倫多大學有份參與的 Citizen Lab 研究指,Zoom 有時會採用中國服務器(servers)供應商發出的密鑰(keys),即使是北美客戶的 Zoom 會議,都可能用了來自中國的密鑰。該份研究報告並質疑,Zoom 在中國擁有三家公司,有可能令 Zoom 在面對北京當權者壓力時,有法律責任要披露加密的資料。
Zoom 在周五承認,由於用戶在 2 月份急增,為應對流量上升,錯誤把數以千計用戶的會議,分流到中國兩家數據中心處理。強調已盡快修正漏洞,並無政府客戶受影響。
Zoom 行政總裁 Eric Yuan 表示,在「正常」情況下,客戶的聯繫會採用客戶所在地鄰近的數據中心,只有在數據傳輸「擠塞」時,才會使用第二層數據中心。換言之,北美用戶理應用北美數據中心。Zoom 的聲明指,2 月份流量急升,才會把部分用戶分流到中國數據心,形容是「非常有限的情況」(extremely limited circumstances),但沒有明確指出有多少用戶受影響。
據Tech Crunch 報道,Zoom 承認在加密系統上可以「做得更好」(do better),又說會尋求外部專家顧問意見,但被問到是什麼專家時,發言人人拒絕回應。
Citizen Lab: 擁有中國心的美國公司?
Citizen Lab 的研究指,Zoom 的加密會議及視像內容用自家製的加密系統,本身已有重大漏洞(significant weaknesses),更發現原來 Zoom 在中國擁有三家公司,聘用當地至少 700 名員工,報告批評這個安排一方面省了美國水平的工資支出,一方面又可以向美國客戶銷售,提高了利潤率。質疑 Zoom 是一家「擁有中國心的美國公司」(A US Company with a Chinese Heart?),如果面對中國政府壓力,是否有法律責任向中方提供資料。
報告指,Zoom 使用的 AES-128 密鑰,部分來自中國服務器公司,即使客戶不在中國,都有機會用了中國發出的密鑰。
報告總結指,Zoom 雖然是很易用,又在新型肺炎疫情下快速普及,但安全問題成疑,又在擁有舉世聞名黑客集團的中國設立數據中心,認為如果只是一般用家,如朋友、社群活動、教學之類是可以用的,但涉及較敏感的機構,如政府、商業、法律事務、新聞從業員、醫療機構等,都不建議用。
Zoom 的軟件早前已被指容易遭黑客入侵用戶收音及攝錄鏡頭,Zoom 曾於日前承諾修改並致歉。
守護言論與新聞自由。立場新聞,寸步不退。
每月贊助支持立場新聞
