新冠狀病毒(COVID-19,俗稱武漢肺炎)讓遠端辦公、聚會的需求直線攀升,企業通訊Zoom也因此成為時下新寵兒,然而隨著大量用戶湧入,也導致這項服務被駭客們盯上,目前已有超過50萬個帳號資訊被放在暗網兜售。
資安公司Cyble追蹤到一名駭客,大約從4月起開始在駭客論壇提供免費Zoom帳戶資料,例如佛蒙特大學、佛羅里達大學等290個院校相關帳號公開其餘駭客使用。
另外,Cyble還發現有超過53萬個Zoom帳號資料被放上架兜售,每個帳號價格甚至不到一美分。Cyble嘗試買下所有帳號,結果一個平均下來只要0.002美元。
購買後取得的帳號資料包括電子信箱、密碼、主持人密鑰(hostkey)及個人會議連結。 這些資料是駭客利用密碼填充攻擊(credential stuffing attacks)所取得。
所謂密碼填充攻擊也就是暴力式破解,駭客會利用自動化系統不斷輸入帳密組合嘗試,直到成功登入為止。因此設定一個足夠複雜的密碼,在個人帳號安全上仍是必要的。
據悉一部分密碼已經過時,所以實際能登入的帳號只有少部份,但這對其餘Zoom用戶來說,仍是一個資安威脅的警訊:駭客已經盯上你。專家也呼籲Zoom用戶應重新設定更複雜的密碼,同時盡量避免一個密碼多帳號通用。
疫情帶來高成長,資安、隱私疑慮陸續曝光
持續升溫的疫情,為Zoom帶來史無前例的成長,活躍用戶數在短短幾個月從1,000萬人暴增至2億人,卻也令這間原先專注在企業視訊會議的公司陷入困境。50萬個帳號被放上網出售,並非Zoom這段時間唯一的醜聞。
在資安及隱私方面的疑慮也層出不窮,外媒《Motherboard》指出,iOS版Zoom會在沒有告知用戶的情況下,逕自將用戶數據傳輸給Facebook;也有其他媒體發現,儘管Zoom聲稱使用點對點加密保障用戶資料,實際上卻沒有做到。
資安研究人員沃德爾(Patrick Wardle)也披露,Zoom系統存在的漏洞讓駭客可以控制鏡頭畫面,甚至傳送惡意程式至用戶電腦。糟糕的是,有教師在遠端授課時遇到不明人士亂入課程,傳送色情內容攪亂課堂。紐約市學校、新加坡都因此禁止老師使用Zoom教課。
Zoom隨後也立刻出面道歉,更新服務停止向Facebook發送數據;產品長蓋爾(Oded Gal)在4月初坦承,「雖然我們從沒打算欺騙用戶,但我們必須承認,一般認定的點對點加密和我們所使用的有一定差異。」
另外,所有Zoom會議也自動新增密碼,並更改預設的螢幕分享設定,讓有心人士更難以搗亂。創辦人袁征表示,安全性與便利間存在拉扯,「現在是時候重新審視之間的平衡了。」
從Zoom快速的行動看來,他們有心想挽回用戶的信賴。但要避免駭客找上門,除了官方必須弭平漏洞外,用戶自身也得維持良好的資安習慣,否則不只是Zoom,可能各個網路帳號都會暴露在被盜竊的風險之中。
資料來源:Bleeping Computer、Forbes、Bloomberg Businessweek
責任編輯:陳映璇
