Zoom的“漏洞”圍城,從新增用戶1.9億到股價下跌16%
漏洞安全問題,終究是給Zoom上了一課。
3個月,1.9億用戶,股價下跌16%
3個月新增1.9億用戶。在新冠疫情全球爆發(fā)之際,9歲的Zoom迎來了機會。
根據(jù)公開數(shù)據(jù),在創(chuàng)紀錄的一周下載量中,Zoom 的下載量是 2019 年第四季度美國每周平均下載量的 14 倍。遠程辦公的熱潮中,發(fā)力云視頻會議的Zoom真實地做到了“一口吃成一個胖子”,意氣風發(fā)莫過于此。
如果沒有后面的事,大抵Zoom會成為疫情期間最大的企業(yè)贏家,成為一樁商界美談。
可惜,沒有如果。
- 3 月 26 日,Motherboard指出,在 iOS 系統(tǒng)下載或打開 Zoom App 時,App內(nèi)嵌的 Facebook SDK會向Facebook 傳送用戶的手機型號、時區(qū)、城市、運營商以及廣告唯一標識符等信息,而 iOS 版本的 Zoom甚至沒有在隱私條款中提前說明,就將用戶數(shù)據(jù)共享給Facebook。
- 隨后,Zoom承認了漏洞。
- 3 月 28 日, SpaceX 發(fā)給員工的一封電子郵件中要求員工立即停止使用 Zoom。信中是這么說的:“我們知道,我們中的很多人正在使用這一工具進行會議。但請使用電子郵件、短信或者電話作為代替通信的手段。”
- 3月30日,美國聯(lián)邦調(diào)查局(FBI)波士頓辦公室發(fā)布了關于 Zoom 的警告,提醒大家不要在 Zoom 進行公開會議或者廣泛分享鏈接,甚至還談到此前已經(jīng)發(fā)生了多起身份不明的人入侵學校網(wǎng)絡課程的事件。
- 3 月 31 日,Zoom 再次被曝漏洞。Windows版 Zoom App爆出容易受到 NUC 路徑注入攻擊。由于Zoom 的“公司目錄”下會展示使用同一郵箱域名的同事姓名、頭像和郵箱,導致如果用戶用私人郵箱注冊,可能會看到同樣使用該郵箱域名的陌生人,而攻擊者利用聊天模塊的漏洞,能夠竊取點擊相關鏈接的用戶的 Windows 登陸憑據(jù),允許訪問受害者的麥克風和攝像機。
- 與此同時,美國航天局發(fā)言人斯蒂芬妮·希爾霍爾茨也表示,NASA 也已經(jīng)禁止員工使用Zoom 。
數(shù)據(jù)泄露、安全隱患、漏洞頻出……讓Zoom的快速擴張受到了質(zhì)疑聲。而來自FBI、SpaceX、NASA的態(tài)度,讓事態(tài)進一步惡化。
受安全漏洞事件的影響,開盤前Zoom股價一度下跌16%。開盤約一小時后,股價下挫逾7%。CEO袁征(Eric Yuan)出面為漏洞事件道歉。Zoom宣布凍結(jié)新功能。
3個月,大起大落。最后留下的是Zoom對公眾的一概承諾:
- 立即凍結(jié)添加新功能;
- 立即轉(zhuǎn)移所有工程資源以專注于最大的信任,安全和隱私問題;
- 與第三方專家和代表用戶進行全面審查,以了解并確保Zoom所有新消費者使用案例的安全性;
- 準備透明度報告,詳細說明與數(shù)據(jù),記錄或內(nèi)容請求有關的信息;
- 增強當前的漏洞賞金計劃;
- 進行一系列白盒滲透測試,以進一步發(fā)現(xiàn)和解決問題。
漏洞事件帶來的一系列多米諾骨牌效應,最終讓Zoom囿于困境。
安全漏洞對企業(yè)的影響
對于Zoom來說,這幾乎是魔幻與現(xiàn)實并存的3個月,而將其從飛速擴張的美夢中叫醒的罪魁禍首就是“漏洞”。
漏洞對于企業(yè)來說有多重要?成也漏洞,敗也漏洞。
成,企業(yè)在漏洞檢測、挖掘、管理上形成體系,隨時隨刻地查“漏”補缺,不僅能夠強化企業(yè)安全能力,保障業(yè)務的順利開展,適當披露已修復的漏洞還能增強用戶對企業(yè)的信任。
敗,可以參考Zoom,或者更直接點,根據(jù)IBM的2019年數(shù)據(jù)泄露成本報告,美國數(shù)據(jù)泄露的平均成本為819萬美元。公司平均需要206天才能識別出泄露,嘗試解決這些問題則平均需要38天,漏洞給企業(yè)帶來的是直觀的高成本代價,同時,還有一系列信譽損失、業(yè)務難以維系、用戶流失等問題。
可以說,漏洞引發(fā)的安全問題幾乎成為企業(yè)業(yè)務開展的生命線。從Zoom事件中,我們或許應該深入思考如何降低安全漏洞對企業(yè)的威脅。
1. 安全是業(yè)務長遠發(fā)展的根基
為什么Zoom在過去9年都沒有發(fā)現(xiàn)的漏洞卻在最近1個月里被曝光。企業(yè)在收獲用戶激增的紅利下,有沒有思考用戶量提升后帶來的安全問題很重要。
在1000萬用戶規(guī)模下,如果企業(yè)認為“定期的漏掃就足夠了”、“內(nèi)部能夠自己能發(fā)現(xiàn)、解決漏洞”,可一旦遇見用戶量大躍升等情況,再去做漏洞管理就來不及了,那些隱藏的漏洞會被外部(記者、安全研究人員、用戶等)提前發(fā)現(xiàn)、披露。顯然,從1000萬用戶到2億用戶,雖然Zoom做出了一些安全舉措(刪除了iOS客戶端中的Facebook SDK、更新了隱私政策),但顯然還不夠、來不及。
在”致Zoom用戶的一封信”中提到:因為用戶數(shù)的激增,Zoom 員工一直都在全天候工作。因為“在設計這款產(chǎn)品時并沒有預見到,在短短幾周內(nèi),全球各地的人們突然緊急開始在家辦公、學習和社交。現(xiàn)在,我們有了更廣泛的用戶群體,他們正以各種意想不到的方式使用我們的產(chǎn)品,這給我們帶來的挑戰(zhàn)是我們在設計平臺時所沒有預料到的。”
因此,我們一直強調(diào)安全一定是企業(yè)業(yè)務長遠發(fā)展的根基。在2億用戶規(guī)模下安全建設很重要,1000萬用戶規(guī)模下安全建設也不能忽視,讓業(yè)務從開始就融入安全的理念,才能應對突發(fā)的威脅,保障業(yè)務的長遠發(fā)展。
2. 重視漏洞全生命周期管理
目前披露的2個Zoom漏洞是如何披露的?是媒體記者、安全研究人員對外發(fā)聲。這個過程中沒有給Zoom留下足夠的反應和漏洞修補時間。
漏洞的披露暴露了Zoom在漏洞管理上的不足。有趣的是,我們發(fā)現(xiàn)了2019年Zoom對于用戶上報2個的漏洞的處理:
| 2019年3月26日,漏洞被上報給Zoom,然后,Zoom花了10天的時間來確認漏洞,并且“Zoom安全工程師不在辦公室,并表示由于政策,即使在漏洞被修補后也不能公開細節(jié),并拒絕提供獎勵。”而真正討論漏洞修補的時間是在2019年6月11日。可以說,Zoom在保護客戶安全方面不夠積極主動,而漏洞管理中存在的問題也給企業(yè)留下了安全隱患。 |
談到漏洞的全生命周期落地,這并不容易,但是企業(yè)成長的過程中必須要做的一個事情。生命周期包括了漏洞發(fā)現(xiàn)、漏洞跟蹤和漏洞記錄。也就是先發(fā)現(xiàn)漏洞,然后跟進、修復漏洞,最后要將各種情況的漏洞以及漏洞處理措施記錄在案。
然而,由于企業(yè)的安全能力有限度,僅僅依靠內(nèi)部的安全團隊很難真正地及時發(fā)現(xiàn)所有潛在的漏洞(這也是出現(xiàn)被攻擊者利用的0day的主要原因之一)。第一步的發(fā)現(xiàn)沒有做好,后續(xù)的跟進與修復自然無法進行。因此,隨著企業(yè)安全建設的不斷深入,可以拓展漏洞發(fā)現(xiàn)渠道,譬如企業(yè)SRC(安全應急響應中心)、國家信息安全漏洞共享平臺、第三方漏洞提交平臺(如漏洞盒子等)。越來越多的企業(yè)開始擁抱眾測模式,通過白帽子的接入與鏈接,強化企業(yè)的安全能力。
同時,為規(guī)范網(wǎng)絡安全漏洞報告和信息發(fā)布等行為,避免漏洞夸大披露乃至被惡意利用的情況,2019年我國工信部發(fā)布了《網(wǎng)絡安全漏洞管理規(guī)定(征求意見稿)》,企業(yè)落地網(wǎng)絡安全漏洞管理時可以以此為參考。
最后,企業(yè)還可以適當通過漏洞獎勵、強化漏掃等手段進一步加強與安全研究/從業(yè)人員的交流,使其不是簡單直接向公眾公開披露。
