家庭工作和學(xué)習(xí)導(dǎo)致了視頻會(huì)議的蓬勃發(fā)展�,其中Zoom是主要的受益者。但是��,對(duì)隱私和安全的關(guān)注提出了重要的問題:Zoom是否安全���,甚至符合GDPR���?
安全問題圍繞最近發(fā)現(xiàn)的幾個(gè)漏洞而進(jìn)行,而這些漏洞所花費(fèi)的時(shí)間就是Zoom修復(fù)早期漏洞的時(shí)間�。隱私問題集中于圍繞用戶或由Zoom保留的會(huì)議數(shù)據(jù)以及其他有權(quán)訪問該數(shù)據(jù)的人缺乏透明度。我們將在本文中集中討論隱私問題�����。
最近發(fā)現(xiàn),即使iOS用戶沒有Facebook帳戶���,Zoom iOS應(yīng)用程序也一直在向Facebook傳遞數(shù)據(jù),這代表了數(shù)據(jù)保留和第三方訪問問題����。Zoom的隱私權(quán)政策中沒有任何跡象表明這種情況正在發(fā)生(Zoom已停止了此操作,但iOS用戶將需要下載最新的應(yīng)用程序版本以防止其繼續(xù)運(yùn)行)���。
這里有兩個(gè)問題:缺乏透明度和未經(jīng)用戶同意將信息分發(fā)給第三方����。“這明顯違反了GDPR��,”出生于法國(guó)倫敦的律師兼隱私權(quán)倡導(dǎo)者Tara Taubman-Bassirian告訴《安全周刊》��。“由于缺乏透明度�����,主持人擁有參與者不知道的許多功能�,例如記錄和進(jìn)一步廣播�����!
同意問題是一個(gè)復(fù)雜的問題,如果要解決���,則需要Zoom仔細(xì)考慮���。GDPR認(rèn)為必須自由給予收集個(gè)人數(shù)據(jù)的同意,并且如果雙方之間權(quán)力不平衡���,則不能自由選擇��,獲得的任何同意都是無效的���。已有一個(gè)先例。2019年9月��,瑞典一所學(xué)校因使用面部生物識(shí)別技術(shù)追蹤22名學(xué)生而被罰款20,000美元���。父母已表示同意���,但數(shù)據(jù)保護(hù)管理者裁定:“鑒于數(shù)據(jù)主體(學(xué)生)與控制人(學(xué)校)之間明顯不平衡,同意書不是有效的法律依據(jù)��。”
對(duì)于辦公室工作人員和學(xué)童來說�,在家庭環(huán)境中的當(dāng)前工作中有可能使用相同的論點(diǎn)。任何參加電話會(huì)議的邀請(qǐng)實(shí)際上都是一條權(quán)力不平衡且?guī)缀鯖]有拒絕的現(xiàn)實(shí)選擇的指令�����。可能發(fā)生許多違反GDPR同意規(guī)則的COVID-19煽動(dòng)性電話會(huì)議�����。Zoom將自己描述為數(shù)據(jù)處理器��,而不是數(shù)據(jù)控制器(即主機(jī))����。如果GDPR數(shù)據(jù)監(jiān)管機(jī)構(gòu)支持此論點(diǎn)�,并且會(huì)議主持人將會(huì)議記錄保存在自己的服務(wù)器上,則意味著主持人應(yīng)對(duì)GDPR下的數(shù)據(jù)負(fù)責(zé)��。
這是主機(jī)可能無法識(shí)別的重要方面�。Taubman-Bassirian認(rèn)為,有效的同意變得更加重要����,它應(yīng)該是“更高的標(biāo)準(zhǔn),因?yàn)槭占陀涗浀臄?shù)據(jù)是能夠識(shí)別個(gè)人身份的生物特征識(shí)別技術(shù)” –在某些情況下將包括兒童。
Zoom似乎正在努力解決過去幾周中提出的問題�。在周三發(fā)表的博客中,該博客說:“我們正在調(diào)查每一個(gè)問題�,并盡我們所能迅速解決。我們致力于向他們學(xué)習(xí)��,并在未來做得更好�������! 一個(gè)立即受到歡迎的聲明是:“我們不出售用戶數(shù)據(jù)��,過去我們從未出售過用戶數(shù)據(jù)�,也無意繼續(xù)出售用戶數(shù)據(jù)�!
該博客解釋了公司面臨的壓力。去年����,每日會(huì)議的最大參加人數(shù)約為1000萬,現(xiàn)在已超過2億��,其中包括20個(gè)國(guó)家/地區(qū)的90,000所學(xué)校�。但是�,這些問題存在于當(dāng)前的使用激增中-它們不是由擴(kuò)展引起的���。
Zoom進(jìn)一步解釋說����,該平臺(tái)是為企業(yè)用戶設(shè)計(jì)的�����,而家庭工人和學(xué)童的涌入令人驚訝����。但是���,對(duì)于隱私和安全的需求并沒有在公司�,家庭工人和學(xué)童之間進(jìn)行區(qū)分-因此�,這些論點(diǎn)都與當(dāng)前問題無關(guān)。確實(shí)�,他們寧愿提出另一個(gè)問題,因?yàn)樗鼈儽砻髟O(shè)計(jì)或默認(rèn)情況下缺乏隱私-這是GDPR的要求�。
Zoom正在進(jìn)行的改進(jìn)之一是提高其透明度和清晰度。它已經(jīng)在一個(gè)單獨(dú)的博客中承認(rèn)�,作為其服務(wù)的端到端加密銷售的產(chǎn)品并非如此�。
F-Secure的首席顧問JarosławKamiński解釋了相關(guān)性���。使用的加密意味著對(duì)Zoom服務(wù)器與參與者之間的通信進(jìn)行了加密����,并且不會(huì)受到中間人攻擊����。他繼續(xù)說:“ E2E意味著通信一直被加密,并且賣方無法訪問���。如果沒有端到端加密�,則賣方具有攔截/記錄通信的技術(shù)能力�。” 這并不意味著供應(yīng)商會(huì)這樣做�����。但Zoom并未指定沒有�。
Zoom還引入了新的透明度報(bào)告。非常歡迎��。該公司表示���,“正在準(zhǔn)備一份透明度報(bào)告�,其中將詳細(xì)說明與數(shù)據(jù),記錄或內(nèi)容請(qǐng)求有關(guān)的信息�。” 注意單詞“ content”����。3月27日發(fā)布的更新的隱私權(quán)政策明確表明,Zoom云將包含主持人希望記錄的所有會(huì)議的記錄-因此Zoom始終可以訪問某些會(huì)議的內(nèi)容�����。它沒有說的是它不存儲(chǔ)任何其他會(huì)議的內(nèi)容�。我們知道���,由于它不使用端到端加密���,因此可以攔截和存儲(chǔ)所有內(nèi)容。我們不知道是否這樣做�����,也不知道它會(huì)保留存儲(chǔ)的內(nèi)容多長(zhǎng)時(shí)間��。
這引起了另一個(gè)問題,因?yàn)閆oom明確表示它遵守政府對(duì)內(nèi)容的訪問權(quán)的國(guó)家法律�����。但是Zoom在全球范圍內(nèi)運(yùn)作����,這意味著通過《云法案》,美國(guó)政府將可以訪問外國(guó)數(shù)據(jù)��。這值得考慮����,因?yàn)槌丝赡艿拿舾猩虡I(yè)信息之外,該內(nèi)容甚至可能包括機(jī)密的外國(guó)政府?dāng)?shù)據(jù)��。
3月27日�,英國(guó)首相鮑里斯·約翰遜(Boris Johnson)發(fā)推文說,幾小時(shí)前���,他剛剛“主持了有史以來第一個(gè)數(shù)字內(nèi)閣”�。他分享的屏幕截圖清楚地表明它已保存在Zoom上�����,甚至顯示了Zoom會(huì)議ID號(hào)。由于會(huì)議已經(jīng)結(jié)束并且第三方?jīng)]有機(jī)會(huì)進(jìn)行“破壞活動(dòng)”�,因此披露ID號(hào)并沒有立即引起人們的關(guān)注。
F-Secure高級(jí)研究員Andy Patel解釋了“ zoombombing”��。“ Zoom會(huì)議ID是一個(gè)相對(duì)較短的數(shù)字字符串�,很可能會(huì)被猜測(cè)或強(qiáng)行使用。通過構(gòu)造潛在會(huì)議的URL(通過合成URL -通常只是Zoom URL�,可能會(huì)使用客戶名稱擴(kuò)展ID)附件),即使沒有邀請(qǐng)��,也可以找到并加入沒有密碼保護(hù)的會(huì)議�。”他告訴SecurityWeek。“作為額外的獎(jiǎng)勵(lì)��,有些人已經(jīng)在他們的Zoom會(huì)議中發(fā)布了包含ID的屏幕截圖�����,因此當(dāng)人們找到這些截圖時(shí)�����,他們都會(huì)加入公開會(huì)議��������!
但是����,在當(dāng)前示例中��,我們不知道主持人(鮑里斯·約翰遜(Boris Johnson)或內(nèi)閣辦公室)是否要求Zoom保留副本以供將來參考��,或者Zoom是否默認(rèn)保留副本���。無論哪種情況�����,美國(guó)情報(bào)機(jī)構(gòu)現(xiàn)在都可以要求訪問會(huì)議上所說的一切�。
很自然地希望英國(guó)的網(wǎng)絡(luò)監(jiān)護(hù)人-特別是內(nèi)閣辦公室和NCSC-在允許總理進(jìn)行數(shù)字化之前會(huì)確保Zoom的隱私和安全����。《安全周刊》要求兩個(gè)辦公室進(jìn)行澄清,但一無所獲����。內(nèi)閣辦公室沒有回答我們的問題��,但提供了兩條不相關(guān)的評(píng)論:“國(guó)家網(wǎng)絡(luò)安全中心指南顯示����,沒有安全理由禁止將Zoom用于此類會(huì)議�。” 報(bào)告還說:“國(guó)防部(指國(guó)防部禁止使用Zoom的虛假報(bào)道)使用Zoom召開官方級(jí)別的政府間會(huì)議�。沒有計(jì)劃對(duì)此進(jìn)行審查���!
這意味著NCSC已經(jīng)檢查了Zoom并發(fā)現(xiàn)它足夠�。這似乎不太可能���,因?yàn)榈侥壳盀橹���,由NCSC提供的唯一評(píng)論堅(jiān)定地將責(zé)任轉(zhuǎn)給了內(nèi)閣辦公室:“內(nèi)閣辦公室正在領(lǐng)導(dǎo)Zoom的回應(yīng),因此�����,我建議您聲明一下�����。通過[他們的電子郵件地址]與新聞辦公室聯(lián)系����。”
無論NCSC是否對(duì)Zoom進(jìn)行了自己的測(cè)試����,似乎都存在足夠的隱私問題(過去和現(xiàn)在),以詢問Zoom是否充分符合GDPR(或英國(guó)的《數(shù)據(jù)保護(hù)法》對(duì)GDPR的實(shí)施)�����。在這里���,SecurityWeek向信息專員辦公室征求意見�。
答復(fù)是這樣的:“冠狀病毒大流行導(dǎo)致視頻會(huì)議工具作為人們交流的一種寶貴方式的使用增加���。任何此類技術(shù)都必須對(duì)用戶透明�����,說明如何處理其數(shù)據(jù)�,并為用戶提供選擇和控制權(quán)。在這個(gè)階段�����,我們正在考慮有關(guān)視頻會(huì)議應(yīng)用程序的各種關(guān)注��������!
沒有對(duì)Zoom的特定參考���,但是我們可以假定它在所考慮的視頻會(huì)議工具列表中居于首位。其他歐洲數(shù)據(jù)處理監(jiān)管機(jī)構(gòu)也可能做類似的事情�����。從表面上看��,Zoom似乎有理由要解決-但Zoom主機(jī)還必須考慮自己作為數(shù)據(jù)控制者的風(fēng)險(xiǎn)-尤其是在有效同意問題上����。
是否應(yīng)該對(duì)Zoom進(jìn)行調(diào)查-如果發(fā)現(xiàn)違反則被處以罰款-是另一個(gè)問題。Crypsis集團(tuán)主管Brittany Roush告訴《安全周刊》:“我的意見是�,擁有確保靈活性��,確保關(guān)鍵服務(wù)能夠繼續(xù)運(yùn)行(尤其是在危機(jī)中)的靈活性,并不能使CCPA和GDPR脫穎而出��。如果有的話���,它表明監(jiān)管機(jī)構(gòu)正在執(zhí)行其基本職能-確保公司保護(hù)消費(fèi)者數(shù)據(jù)...從許多方面來說����,CCPA和GDPR都應(yīng)從HIPAA那里借鑒�����,從而降低了安全性標(biāo)準(zhǔn)�。為了應(yīng)對(duì)大流行的關(guān)鍵醫(yī)療保健需求,遠(yuǎn)程醫(yī)療……我們沒有足夠的時(shí)間來設(shè)計(jì)完美的解決方案�。”
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
