學校禁用,波士頓 FBI 警告,集體訴訟 ... 當紅 Zoom 做錯了什麼?

撰稿 | 流蘇
編輯 | 圖圖

在新冠肺炎肆虐美國之時,Zoom 可謂紅極一時,成爲困守家中的美國人至關重要的“社交生命線”。

2019 年 12 月,Zoom 的用戶數還只有 1000 萬人;2020 年 3 月,Zoom 的用戶數暴增至 2 億人,三個月的時間用戶數淨增長 1 億 9000 萬,堪稱商業史上的奇蹟,Zoom 也一躍成爲美國全民社交平臺。

在線視頻會議、雲蹦迪、在線雞尾酒 party、在線辦婚禮喪禮、在線看醫生好友 ...... 幾乎你能想到的活動,美國人全都把它搬上了 Zoom,甚至國家內閣都曾用它來開會。

學校禁用,波士頓 FBI 警告,集體訴訟 ... 當紅 Zoom 做錯了什麼?

據 Zoom 披露的數據顯示,新冠疫情爆發後,Zoom 已經爲 20 個國家 / 地區的 9 萬多所學校提供在線教學平臺。而 Zoom 也因此遭到中小學生的血洗,評價一度被降低至可憐的 2 分,讓被小學生差評的釘釘好受了許多。

流行歌手 Charli XCX 甚至在 Zoom 上開了一場專輯發佈會和粉絲見面會,限額 1000 人,無數粉絲呼朋喚友,奔走相告,只爲成爲那 1000 分之一。

Zoom 夢幻般的成功自然也吸引了資本市場的注意,2020 年年初,清空蔚來汽車股權的知名投資機構高瓴資本直接重倉 Zoom,而 Zoom 的股價也不負所望,一路狂飆,1 月—3 月期間漲幅超過 100%。

那時,誰也沒有想到 Zoom 會遭遇如此大的滑鐵盧,夢幻般的成功後面緊跟着的就是一場夢幻般的“敗退”。

3 月底,美國調查新聞網站 The Intercept 發佈調查報道,指出 Zoom 未遵循宣傳中所承諾的爲用戶的視頻會議進行端到端的加密處理,致使大量的視頻被泄露,外界也因此質疑 Zoom 有可能直接接觸用戶數據。

由於 Zoom 的默認設置,用戶發現有人可以在未被邀請的情況下參與和惡意攪亂視頻會議,甚至是惡意放置低俗的圖片和公然進行種族歧視,直接導致視頻會議中斷,這種惡搞行爲被稱爲“Zoom-bombing (Zoom 炸彈)”。美國媒體 Vice 也曾發佈報道,指出 Zoom 泄露了成千上萬用戶的電子郵件地址和照片。

隨後,數以萬計的私人 Zoom 視頻被上傳至公開網頁,任何人都可在線圍觀。由於 Zoom 命名方式單一,有人在開放的雲存儲空間中一次性搜到了 15000 個 Zoom 視頻,其中還有所有參會人員的名字和電話號碼,以及更多的個人可識別信息。現在已有相當一部分的視頻被上傳在 YouTube 等社交平臺上。

學校禁用,波士頓 FBI 警告,集體訴訟 ... 當紅 Zoom 做錯了什麼?

一系列的問題瞬間將 Zoom 架在了火上。

特斯拉 CEO 埃隆馬斯克的太空公司 SpaceX 通過備忘錄稱,禁止員工使用 Zoom 應用,稱該應用存在“嚴重的隱私和安全問題”。美國航天局發言人斯蒂芬妮·希爾霍爾茨也表示,美國國家航空航天局(NASA)也禁止其員工使用 Zoom。

美國最大的學區紐約市教育局已經下令教師不要使用 Zoom,轉而使用 Zoom 的競爭對手——微軟 Teams 在線課堂上網課。同樣,內華達州的克拉克縣公立學校也禁止師生繼續使用 Zoom 給學生上課。

美國聯邦調查局(FBI)波士頓辦公室更是直接發出了警告,明確告知用戶不要在 Zoom 上舉行的會議鏈接進行公開或大量分享,此前 FBI 已經收到了多起不明身份的人入侵學校網課的報告。

據相關媒體報道,美國的 Robert Cullen 代表其他 Zoom 用戶已經向美國加州法院提出訴訟,指控 Zoom 違反了加州的數據保護法,未得用戶同意就將用戶個人資料以及視頻會議信息發送給 Facebook。

學校禁用,波士頓 FBI 警告,集體訴訟 ... 當紅 Zoom 做錯了什麼?

這些安全事件導致的社會影響很快就反映在資本市場,Zoom 股價應聲下跌,一路低迷,從最高價 164.94 美元一度下探至 108.53 美元,堪稱慘烈。Zoom 事件也再次讓人們再次意識到安全的重要性。

成也“易用”,敗也“易用”

學校禁用,波士頓 FBI 警告,集體訴訟 ... 當紅 Zoom 做錯了什麼?

縱觀 Zoom 的發展、爆紅和“敗退”,幾乎可以直接用“易用”兩個字概括。簡單來說,成也“易用”,敗也“易用”。

Zoom 從一開始就採用了以客戶爲中心的理念,並在其交付給用戶的產品和功能中有所體現,其中最關鍵的就是要讓用戶用起來快捷、舒服。

在爆紅之前,Zoom 就以簡潔、直觀的界面和“一鍵加入”功能而聞名,從一片紅海的視頻領域中殺出重圍,成爲衆所周知的獨角獸。

作爲 Zoom 的核心產品,Zoom Rooms 以易用性著稱,與會者通過會議主持人發起的一條鏈接便可以參與到會議中。可以想想這是多麼的便捷,即便當時錯過了視頻要求也可以通過鏈接繼續參與。

既然 Zoom Rooms 以易用性出名,自然不會僅僅這麼一個優點。爲了實現無線內容高度共享,並實現高質量視頻音頻與桌面、手機以及其他設備的無縫對接。Zoom 使用現成的各種商業設備,以支持各種設備(電腦、手機、平板等)的攝像機、揚聲器和顯示器。這和傳統的視頻會議需要場地、大量設施以及人員的支持形成爲鮮明的對比。

而當主持人開啓錄音、錄像等功能後,會議結束後 Zoom Rooms 便會自動生成相應的音頻與視頻文件保存在主持人的設備上。這個功能簡直太棒了,相當於是自動生成了“會議紀要”,簡單又好用。

另外,Zoom Rooms 還可以讓用戶直接對公司所有會議場所進行安排並隨時查看哪個房間尚未使用以便安排接下來的會議,從而讓用戶不再爲各個房間的調度問題而頭疼,甚至還可以讓多位用戶可以同時使用白板,因而其想法與意見得以相互交流從而強化員工進行頭腦風暴的過程。

Zoom 的易用性如此之高,導致美國民衆在疫情期間對於該軟件的興趣大增,無數的用戶因爲“簡潔易用”蜂擁而入。這也是 Zoom 得以從谷歌的 Hangouts、微軟的 Skype 和 Teams、蘋果的 FaceTime、Facebook 的 Whatsapp 等互聯網巨頭產品的擠壓下脫穎而出的原因。

也許很多讀者都不知道,“易用”已經是 Zoom 公司獨具一格且深入人心的企業文化,並且早已深入 Zoom 的靈魂。

但是,誰也沒有想到,在這樣的企業文化潛移默化之下,Zoom 不僅是產品強調“易用”,在產品設計時,員工也不知不覺偏向了“易用”,即能夠用簡單方式完成工作就絕對不用複雜的,卻沒有顧及這樣做是否會引發安全問題。

之所以“數以萬計的私人 Zoom 視頻會被公開,甚至是被他人圍觀”,是因爲會議錄製的視頻會直接保存在 Zoom 服務器或任何雲端、公開網站,而且,錄製好的 Zoom 視頻都是相同的命名方式保存。於是,有研究員通過 Zoom 的默認命名規則,一次性從網上搜索出了 15000 個視頻。

很明顯,Zoom 的程序設計師直接繞過了一些視頻聊天程序常用的安全保護功能,比如要求用戶在保存視頻時使用唯一的文件名。

究其深層次原因,這麼做大概是因爲默認單一的命名方式對於程序和設計來說更加簡單、好操作,這就是員工的“易用”(其實就是員工使用更簡單的方式來代替,後果是對安全的減配)。而直接存儲在雲端和公開網站更是讓我們重新認識到程序和設計對於“易用”的執着,雖然這樣會大大降低成本,達到“省錢”的目的,但是基本就和安全無緣。

聽起來似乎真的很兒戲,但是 Zoom 就是這麼做的。雖然這樣在產品研發、設計時更加“易用”,代價就是非常容易遭受黑客攻擊,也因此引發了人們深深的擔憂。

Zoom 自稱是基於 AES-256 算法進行端到端加密,但多倫多大學研究人員發現 Zoom 實際上用的是更弱的 AES-128 算法,而該算法在使用時比 AES-256 算法要簡化不少。

另外,iOS 版 Zoom 應用會在未經用戶授權的情況下,向 Facebook 發送分析數據,這也是 Zoom 面臨集體訴訟的原因之一。出現這一問題的原因是 Zoom 視頻通話應用程序使用 Facebook 的軟件開發套件 (SDK),這樣開發速度明顯要快許多。因此,下載並啓動 Zoom 時,它將立即連接到 Facebook Graph API。

至於飽受關注的“視頻未使用端到端加密,而是使用 TLS 加密”,最直接的原因就是如果 Zoom 使用端到端加密,那麼它就需要額外多做很多事情來保證加密效果和傳輸效果。結果就是 Zoom 開發、設計人員爲了自己和用戶的“易用”使用了簡單的加密方式。

從這些問題中我們可以看出,Zoom 不僅僅是產品“易用”,而且產品設計上也“易用”,尤其是在安全和隱私方面,能用簡單的方式就絕對不用複雜的。但是,大量的事實告訴我們,安全開發容不得半點“易用”,當你在糊弄安全時,安全總有一天也會糊弄你。

“易用”or“安全”

對於大多數企業來說,“易用”&“安全”似乎是一道送命的選擇題,因爲很多企業在發展的過程中往往會因爲易用而忽略了安全,並最終栽了個大跟頭。

例如 2017 年支付寶年度賬單事件何嘗不是因爲員工的“易用”,想要一次獲取更多的信息和權限,卻最終鬧得沸沸揚揚,一度令無數用戶擔心自己的隱私信息。隨後,螞蟻金服官方道歉,並表示“肯定錯了”“愚蠢至極”。

事實上,“易用”和“安全”一直是一對冤家,此消則彼長。想要安全則必定會犧牲一定的易用,想要易用則勢必會喪失一部分安全,這點在當下的諸多安全措施和產品中皆有體現。例如現在流行的“雙因素認證”何嘗不是在保證安全的前提下,犧牲了一定的易用呢?包括備受人們關注的“零信任網絡”也是如此。

關鍵在於如何把握兩者之間的平衡。

此前,ZOOM 一直毫無顧忌地偏向於“易用”,不論是用戶體驗還是員工工作皆是如此,雖然讓它一度登頂,但卻也在一夜之間摔了個大大的跟頭。

所幸,現在 ZOOM 已經重新握起安全,哪怕犧牲一定的“易用”,並且表示將立即停止開發新功能,全力亡羊補牢。例如通過等候室、密碼、靜音控制和限制屏幕共享等幫助用戶解決了平臺上的騷擾事件;移除 iOS 客戶端的 Facebook SDK,不再向 Facebook 發送數據等。

最後,也希冀其他企業能夠吸取 Zoom 這次的教訓,認真評估把握好“易用”和“安全”的天平。

推薦閱讀


醫院婦產科真會向嬰幼機構泄露新生兒隱私信息?

學校禁用,波士頓 FBI 警告,集體訴訟 ... 當紅 Zoom 做錯了什麼?學校禁用,波士頓 FBI 警告,集體訴訟 ... 當紅 Zoom 做錯了什麼?

齊心抗疫 與你同在學校禁用,波士頓 FBI 警告,集體訴訟 ... 當紅 Zoom 做錯了什麼?

學校禁用,波士頓 FBI 警告,集體訴訟 ... 當紅 Zoom 做錯了什麼?

點【在看】的人最好看

學校禁用,波士頓 FBI 警告,集體訴訟 ... 當紅 Zoom 做錯了什麼?

來源鏈接:mp.weixin.qq.com