16

黑客暗网叫卖Zoom账号密码,1分钱能买71个,加密大佬教袁征做人,17年前开源软件现在...

 4 years ago
source link: https://www.qbitai.com/2020/04/13373.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.

晓查 郭一璞 发自 凹非寺

量子位 报道 | 公众号 QbitAI

Zoom,现在是风口浪尖上的企业了。

疫情一来,用户数和股价齐飞,但问题也出现的不要太频繁。

一方面进入隐私泄露危机,一方面又因为有中国的公司和服务器而被质疑。

但,使用Zoom的用户们似乎更惨。昨夜,有媒体曝出53万Zoom账号密码被公开在暗网叫卖,而且价格特别便宜,1个账号只卖0.002美分,总共才10美元左右。

换算成人民币,差不多一个账号0.00014元,1分钱能买71个。

要知道,开Zoom会员,一个账号一个月就要19.99美元(140元人民币)啊!注意这个价格不是年费,是月费,比视频网站外卖网站贵好多好多倍。

而且,这些被公开出售的账号,还有不少是来自花旗银行、佛罗里达大学等知名机构的。

可是,Zoom的股价在被曝出消息后还大涨了。

FVniArz.jpg!web

真是难为这些用户了,不好用,还没得选。

撞库获得53万账户密码

用户账号密码泄露的消息,来自网络安全公司Cyble。这家公司日常一直在监控暗网,好发现有没有自己的客户信息泄露或者被盗号。

这次,Cyble发现,在黑客网站上,有人开始卖Zoom账号了,总数53万个。

除了用来卖的部分,黑客还挑出了290个“试用装”免费发布,这些账号来自佛蒙特大学、科罗拉多大学、佛罗里达大学等多所高校。

quIba2B.jpg!web

“试用装”账户

美国媒体BleepingComputer联系了部分被免费曝光的用户,发现其中不少数据都是正确的,而有一位用户说,这个密码是他之前用的旧密码。

这也就意味着,来源是——撞库。

直白来说,就是在之前的各种账号密码泄露的事件中,黑客自己收集了一批账号密码,然后挨个在Zoom上试,把试成功的账号密码单独拉个表格拎出来卖。

这就非常尴尬了,53万账户,黑客肯定不会手动去一个一个复制粘贴登录,这个过程一定是自动进行的,但被撞库成功,意味着Zoom可能没有做足充分的保护措施。

Cyble买了这53万个账户,用来给自己的用户发账户泄露风险的提示。

购买的价格是每个0.002美分,总共花费才10.6美元,74块人民币。

价格不贵,估计也挣不了几个钱,Cyble说黑客把这些挂出来,主要是为了装哔——显得自己很厉害的样子。

他们发现,每个账户被泄露的信息包括邮箱、密码、个人url地址,还有HostKey——就是作为会议主持人管理会议的6位数PIN码。

uqUZ3mA.jpg!web

而且,从域名来看,这些用户包括摩根大通的子公司大通银行、花旗银行,还有一些教育机构等等知名公司或机构。

银行的账户被泄露,那可不知道会有多少秘密流出。

所以都这样了,Zoom知道了吗?怎么说?

Zoom:我们一定改,但是得交钱

不仅密码被盗用,Zoom的服务器地址也被诟病。

多伦多大学之前就发现,使用Zoom的几个人明明都在北美,但是会议数据却要通过中国服务器。

还有会议的密钥是在中国的服务器上生成的。

想象一下,如果是中国人在国内开会,但是数据全都经过美国,密钥也在美国生成,难免不让人怀疑啊,所以用户当然不干了。

Jve6jeV.jpg!web

在外界的质疑声中,Zoom只好加入给用户选择任意选择服务器的功能, 前提是付费 ,免费用户仍然没有选择的权利。

至于为何要用中国服务器,Zoom CEO袁征也公开解释,因为新冠疫情,导致用户数量激增,去年12月每日用户才1000万,今年3月已经增长到2亿,需要大量增加服务器。

所以Zoom才不得不去选择中国的服务器,因为没有考虑到地理因素,某些会议可能会被链接到中国的服务器上。

但这种解决问题的进度,现在网友们可等不了。

都已经在给Zoom提供“抄作业”参考了。

网友:抄下开源软件的作业吧

既然想用高级功能还要加钱,那就只能让部分用户叛逃了。Zoom不安全又不免费,那就找个更安全的免费软件替代它吧。

国外饱受Zoom折磨的网友推荐使用开源软件 Jitsi Meet ,不仅免费,而且更安全。更重要是让Zoom看看,人家一个免费软件是如何做加密的,Zoom好好学着点。

BRj26rq.jpg!web

和其他视频会议软件一样,Jitsi Meet用户只需分享一段网址即可组织视频会议。

但与Zoom不同的是,如果你仅知道这个网址,是无法侵入会议现场的,打开后也只能看到一片片“雪花”。

ZraQVne.jpg!web

这是因为你没有端到端的密钥。参加会议的唯一方法是拥有端到端密钥的特权。然后在网址之后加入一段密钥,就能看见其他同事啦。

e2INF3M.gif

每个人密钥都不相同,有几个人参会就有几组密钥,视频内容都是在本地完成加密和解密。

以上只是官方的一个演示,考虑到浏览器记录可能会泄露你的密钥,Jitsi下一步将考虑使用新的算法处理密钥的交换和管理方式,进一步提高安全性。

Jitsi Meet不是什么跟风之作,而且要说到历史,Zoom也得叫前者一声大哥。

Zoom公司是2011年才创立,而Jitsi Meet早在2003年就有了,最初还是斯特拉斯堡大学在读博士生Emil Ivov的项目。

yiIjyiu.jpg!web

Emil Ivov

没错,这个斯特拉斯堡就是那个诞生“白色相簿”的地方,不知道袁征看到了Emil Ivov,会不会问一句:“你为什么这么熟练啊?”

因为最近的疫情,加上Zoom不给力,Jitsi Meet开源项目又火了起来,短短几天之内GitHub上的活跃度大增。

真是Emil Ivov和一众网友用熟练的技巧教袁征如何做软件。

求助一则

不过,Zoom短时间能改完安全漏洞吗?

看起来是难了。

但更难的是疫情之下把Zoom等视频会议当刚需的企业和用户。

比如我们量子位,编辑部就离不开Zoom,但现在每天目见耳闻这样的隐私安全漏洞,又怎能安心?

现如今真是骑虎难下,Zoom有隐私安全问题,但流畅度、使用体验和跨国远程协作都很好,要“迁移”就得找个一样的体验、更好的安全的软件。

那么,你(或者贵司)用的是哪款软件呢,在评论区告诉我们吧~

版权所有,未经授权不得以任何形式转载及使用,违者必究。


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK