音频解说

随着COVID-19大流行将工作场所和社交聚会转移到网上，商务会议、求职面试、会议和社交活动也从现实世界转移到了数字世界。虽然有许多视频会议平台可供选择，但有一项服务是市场上最受欢迎的:Zoom。

在COVID-19开始增加的几周内，Zoom的使用直线上升:例如，根据Wandera的新数据，在3月16日那一周，Zoom的使用较前一周增加了101.1%，一个月前的连接增加了224.7%。随着这些连接的增加，数据使用也出现了激增——在同一周内，数据使用上升了337%。当月，该指数飙升了876.7%。

这对实际用户意味着什么?Zoom公司4月1日的博客文章称，3月份，该平台每天接待2亿人参加会议，比去年12月增加了1000万。

但随着越来越多的人涌入视频会议平台，问题也随之出现。不请自来的用户进入会议(因为缩放ID代码很容易被猜出)，开始所谓的“缩放轰炸”——通过投射图形图像来骚扰参与者。它也成为了黑客的乐园，因为许多与会者都是在家里工作，家里的电脑更容易受到攻击。最重要的是，Zoom的用户邮件和照片被泄露，视频通话也没有端到端的加密。(相反，它们是“加密传输”的，这意味着可以通过Zoom访问数据。)

参见:远程办公政策(TechRepublic Premium)

雷麦黛丝的首席执行官蒂姆·基勒(Tim Keeler)是一名安全顾问和渗透测试员，他解释了Zoom是如何成为目标的。根据Keeler的说法，Zoom安装程序是在未经验证和用户同意的情况下运行的，它的目标用户是管理员。

他说:“攻击者可以通过修改安装程序来获得‘root’级别的特权，而不会引起任何人的注意。”此外，Windows版本的Zoom“通过点击Zoom会话聊天窗口中的链接诱骗用户公开用户名和密码散列”，“利用了Zoom Windows客户端的通用命名约定(UNC)路径注入漏洞”。

Zoom承认存在问题:“我们进展得太快了……我们有一些失误，”CEU Eric Yuan告诉CNN。“我们吸取了教训，后退了一步，把重点放在隐私和安全上。”该平台的回应是暂停功能更新90天。

参见:如何保护您的zoom会议线不受黑客攻击(免费PDF) (TechRepublic)

周日，4月5日，Zoom提供了一些帮助加强安全的选项作为回应。第一个重大变化是启用会议密码。这并不适用于那些通过链接加入的人，但是任何使用会议ID的人现在必须使用密码才能进入——从周日开始，密码已经包含在邀请中了。Zoom建议会议组织者与参与者重新分享最初的会议。(这里是Zoom的两分钟视频，提供详细说明。)另一个重要的更新是让虚拟等候室——人们进入会场前的等候区——自动开启。这给组织者提供了一个额外的机会来接待个别客人。

Zoom的回应是“同类中最好的”，Keeler说。他说，该公司承认这些问题的声明是透明的，并“迅速为每一个缺陷打上补丁”。Keeler认为，新的默认选项——等候室功能和密码保护会议——加强了最佳实践，并将防止Zoom轰炸。

关键的IT政策和工具每个业务需求(TechRepublic Premium)

并不是所有的安全专家都认为这种反应是适当的——Lifesize的首席执行官克雷格·马洛伊在他的领英博客上说Zoom的反应是“虚伪的废话”。“祖姆只是对他们被抓感到遗憾，”他写道。“数据安全和隐私要么根植于你的公司文化，要么没有。这是一个决定;一个选择。没有人会去谷歌Hangouts或Lifesize，它们的使用率也在大幅上升，无论是用于商业还是个人用途。”

尽管如此，关键的结论是，虽然这些安全漏洞针对的是Zoom，但它可能发生在任何没有采取适当措施保护自身的平台上。Veritas Technologies的CIO John Abel说:“这些最近的漏洞对组织的威胁比许多人意识到的要大得多。”“没有端到端加密，企业很容易受到黑客的监听，或者获取通过该平台共享的敏感信息。”

Abel继续说，“今天的恶意软件甚至已经足够复杂，可以定制特定的目标环境，比如关键的备份和恢复基础设施。”他强调，解决这个问题的唯一方法是采用“整体数据保护策略”，能够发现并应对一系列不同的威胁，并简化整个组织的安全管理。

通过及时了解最新的网络安全新闻、解决方案和最佳实践，加强您的组织的IT安全防御。星期二和星期四送货

如何成为一个网络安全专业:一个备忘单(TechRepublic)背后的主谋骗子逍遥法外会谈网络安全(TechRepublic下载)Windows 10安全:商业领袖的指导(TechRepublic的溢价)101年网络安全:提示为保护你的隐私免受黑客和间谍(ZDNet)所有你需要知道的VPN条款(CNET)网络安全和网络战争:更多的必读报道(TechRepublic Flipboard)