文/量子位

　　來源：量子位（ID：QbitAI）

　　原標題：黑客暗網(wǎng)叫賣 Zoom 賬號密碼，1 分錢能買 71 個，加密大佬教袁征做人，17 年前開源軟件現(xiàn)在又火了　　

　　曉查郭一璞發(fā)自凹非寺

　　量子位報道公眾號 QbitAI

　　Zoom，現(xiàn)在是風口浪尖上的企業(yè)了。

　　疫情一來，用戶數(shù)和股價齊飛，但問題也出現(xiàn)的不要太頻繁。

　　一方面進入隱私泄露危機，一方面又因為有中國的公司和服務器而被質(zhì)疑。

　　但，使用 Zoom 的用戶們似乎更慘。昨夜，有媒體曝出 53 萬 Zoom 賬號密碼被公開在暗網(wǎng)叫賣，而且價格特別便宜，1 個賬號只賣 0.002 美分，總共才 10 美元左右。

　　換算成人民幣，差不多一個賬號 0.00014 元，1 分錢能買 71 個。

　　要知道，開 Zoom 會員，一個賬號一個月就要 19.99 美元（140 元人民幣）啊！注意這個價格不是年費，是月費，比視頻網(wǎng)站外賣網(wǎng)站貴好多好多倍。

　　而且，這些被公開出售的賬號，還有不少是來自花旗銀行、佛羅里達大學等知名機構(gòu)的。

　　可是，Zoom 的股價在被曝出消息后還大漲了。

　　真是難為這些用戶了，不好用，還沒得選。

　　撞庫獲得 53 萬賬戶密碼

　　用戶賬號密碼泄露的消息，來自網(wǎng)絡安全公司 Cyble。這家公司日常一直在監(jiān)控暗網(wǎng)，好發(fā)現(xiàn)有沒有自己的客戶信息泄露或者被盜號。

　　這次，Cyble 發(fā)現(xiàn)，在黑客網(wǎng)站上，有人開始賣 Zoom 賬號了，總數(shù) 53 萬個。

　　除了用來賣的部分，黑客還挑出了 290 個“試用裝”免費發(fā)布，這些賬號來自佛蒙特大學、科羅拉多大學、佛羅里達大學等多所高校。

　　△“試用裝”賬戶

　　美國媒體 BleepingComputer 聯(lián)系了部分被免費曝光的用戶，發(fā)現(xiàn)其中不少數(shù)據(jù)都是正確的，而有一位用戶說，這個密碼是他之前用的舊密碼。

　　這也就意味著，來源是——撞庫。

　　直白來說，就是在之前的各種賬號密碼泄露的事件中，黑客自己收集了一批賬號密碼，然后挨個在 Zoom 上試，把試成功的賬號密碼單獨拉個表格拎出來賣。

　　這就非常尷尬了，53 萬賬戶，黑客肯定不會手動去一個一個復制粘貼登錄，這個過程一定是自動進行的，但被撞庫成功，意味著 Zoom 可能沒有做足充分的保護措施。

　　Cyble 買了這 53 萬個賬戶，用來給自己的用戶發(fā)賬戶泄露風險的提示。

　　購買的價格是每個 0.002 美分，總共花費才 10.6 美元，74 塊人民幣。

　　價格不貴，估計也掙不了幾個錢，Cyble 說黑客把這些掛出來，主要是為了裝嗶——顯得自己很厲害的樣子。

　　他們發(fā)現(xiàn)，每個賬戶被泄露的信息包括郵箱、密碼、個人 url 地址，還有 HostKey——就是作為會議主持人管理會議的 6 位數(shù) PIN 碼。

　　而且，從域名來看，這些用戶包括摩根大通的子公司大通銀行、花旗銀行，還有一些教育機構(gòu)等等知名公司或機構(gòu)。

　　銀行的賬戶被泄露，那可不知道會有多少秘密流出。

　　所以都這樣了，Zoom 知道了嗎？怎么說？

　　Zoom：我們一定改，但是得交錢

　　不僅密碼被盜用，Zoom 的服務器地址也被詬病。

　　多倫多大學之前就發(fā)現(xiàn)，使用 Zoom 的幾個人明明都在北美，但是會議數(shù)據(jù)卻要通過中國服務器。

　　還有會議的密鑰是在中國的服務器上生成的。

　　想象一下，如果是中國人在國內(nèi)開會，但是數(shù)據(jù)全都經(jīng)過美國，密鑰也在美國生成，難免不讓人懷疑啊，所以用戶當然不干了。

　　在外界的質(zhì)疑聲中，Zoom 只好加入給用戶選擇任意選擇服務器的功能，前提是付費，免費用戶仍然沒有選擇的權(quán)利。

　　至于為何要用中國服務器，Zoom CEO 袁征也公開解釋，因為新冠疫情，導致用戶數(shù)量激增，去年 12 月每日用戶才 1000 萬，今年 3 月已經(jīng)增長到 2 億，需要大量增加服務器。

　　所以 Zoom 才不得不去選擇中國的服務器，因為沒有考慮到地理因素，某些會議可能會被鏈接到中國的服務器上。

　　但這種解決問題的進度，現(xiàn)在網(wǎng)友們可等不了。

　　都已經(jīng)在給 Zoom 提供“抄作業(yè)”參考了。

　　網(wǎng)友：抄下開源軟件的作業(yè)吧

　　既然想用高級功能還要加錢，那就只能讓部分用戶叛逃了。Zoom 不安全又不免費，那就找個更安全的免費軟件替代它吧。

　　國外飽受 Zoom 折磨的網(wǎng)友推薦使用開源軟件 Jitsi Meet，不僅免費，而且更安全。更重要是讓 Zoom 看看，人家一個免費軟件是如何做加密的，Zoom 好好學著點。

　　和其他視頻會議軟件一樣，Jitsi Meet 用戶只需分享一段網(wǎng)址即可組織視頻會議。

　　但與 Zoom 不同的是，如果你僅知道這個網(wǎng)址，是無法侵入會議現(xiàn)場的，打開后也只能看到一片片“雪花”。

　　這是因為你沒有端到端的密鑰。參加會議的唯一方法是擁有端到端密鑰的特權(quán)。然后在網(wǎng)址之后加入一段密鑰，就能看見其他同事啦。

　　每個人密鑰都不相同，有幾個人參會就有幾組密鑰，視頻內(nèi)容都是在本地完成加密和解密。

　　以上只是官方的一個演示，考慮到瀏覽器記錄可能會泄露你的密鑰，Jitsi 下一步將考慮使用新的算法處理密鑰的交換和管理方式，進一步提高安全性。

　　Jitsi Meet 不是什么跟風之作，而且要說到歷史，Zoom 也得叫前者一聲大哥。

　　Zoom 公司是 2011 年才創(chuàng)立，而 Jitsi Meet 早在 2003 年就有了，最初還是斯特拉斯堡大學在讀博士生 Emil Ivov 的項目。

　　△Emil Ivov

　　沒錯，這個斯特拉斯堡就是那個誕生“白色相簿”的地方，不知道袁征看到了 Emil Ivov，會不會問一句：“你為什么這么熟練啊？”

　　因為最近的疫情，加上 Zoom 不給力，Jitsi Meet 開源項目又火了起來，短短幾天之內(nèi) GitHub 上的活躍度大增。

　　真是 Emil Ivov 和一眾網(wǎng)友用熟練的技巧教袁征如何做軟件。

　　求助一則

　　不過，Zoom 短時間能改完安全漏洞嗎？

　　看起來是難了。

　　但更難的是疫情之下把 Zoom 等視頻會議當剛需的企業(yè)和用戶。

　　比如我們量子位，編輯部就離不開 Zoom，但現(xiàn)在每天目見耳聞這樣的隱私安全漏洞，又怎能安心？

　　現(xiàn)如今真是騎虎難下，Zoom 有隱私安全問題，但流暢度、使用體驗和跨國遠程協(xié)作都很好，要“遷移”就得找個一樣的體驗、更好的安全的軟件。

總結(jié)

以上是生活随笔為你收集整理的黑客暗网叫卖Zoom账号密码，17年前开源软件现在又火了的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。