黑客暗网叫卖Zoom账号密码,17年前开源软件现在又火了

  文/量子位

  来源:量子位(ID:QbitAI)

  原标题:黑客暗网叫卖 Zoom 账号密码,1 分钱能买 71 个,加密大佬教袁征做人,17 年前开源软件现在又火了  

  晓查郭一璞发自凹非寺 

  量子位报道公众号 QbitAI

  Zoom,现在是风口浪尖上的企业了。

  疫情一来,用户数和股价齐飞,但问题也出现的不要太频繁。

  一方面进入隐私泄露危机,一方面又因为有中国的公司和服务器而被质疑。

  但,使用 Zoom 的用户们似乎更惨。昨夜,有媒体曝出 53 万 Zoom 账号密码被公开在暗网叫卖,而且价格特别便宜,1 个账号只卖 0.002 美分,总共才 10 美元左右。

  换算成人民币,差不多一个账号 0.00014 元,1 分钱能买 71 个。

  要知道,开 Zoom 会员,一个账号一个月就要 19.99 美元(140 元人民币)啊!注意这个价格不是年费,是月费,比视频网站外卖网站贵好多好多倍。

  而且,这些被公开出售的账号,还有不少是来自花旗银行、佛罗里达大学等知名机构的。

  可是,Zoom 的股价在被曝出消息后还大涨了。

  真是难为这些用户了,不好用,还没得选。

  撞库获得 53 万账户密码

  用户账号密码泄露的消息,来自网络安全公司 Cyble。这家公司日常一直在监控暗网,好发现有没有自己的客户信息泄露或者被盗号。

  这次,Cyble 发现,在黑客网站上,有人开始卖 Zoom 账号了,总数 53 万个。

  除了用来卖的部分,黑客还挑出了 290 个“试用装”免费发布,这些账号来自佛蒙特大学、科罗拉多大学、佛罗里达大学等多所高校。

  △ “试用装”账户

  美国媒体 BleepingComputer 联系了部分被免费曝光的用户,发现其中不少数据都是正确的,而有一位用户说,这个密码是他之前用的旧密码。

  这也就意味着,来源是——撞库。

  直白来说,就是在之前的各种账号密码泄露的事件中,黑客自己收集了一批账号密码,然后挨个在 Zoom 上试,把试成功的账号密码单独拉个表格拎出来卖。

  这就非常尴尬了,53 万账户,黑客肯定不会手动去一个一个复制粘贴登录,这个过程一定是自动进行的,但被撞库成功,意味着 Zoom 可能没有做足充分的保护措施。

  Cyble 买了这 53 万个账户,用来给自己的用户发账户泄露风险的提示。

  购买的价格是每个 0.002 美分,总共花费才 10.6 美元,74 块人民币。

  价格不贵,估计也挣不了几个钱,Cyble 说黑客把这些挂出来,主要是为了装哔——显得自己很厉害的样子。

  他们发现,每个账户被泄露的信息包括邮箱、密码、个人 url 地址,还有 HostKey——就是作为会议主持人管理会议的 6 位数 PIN 码。

  而且,从域名来看,这些用户包括摩根大通的子公司大通银行、花旗银行,还有一些教育机构等等知名公司或机构。

  银行的账户被泄露,那可不知道会有多少秘密流出。

  所以都这样了,Zoom 知道了吗?怎么说?

  Zoom:我们一定改,但是得交钱

  不仅密码被盗用,Zoom 的服务器地址也被诟病。

  多伦多大学之前就发现,使用 Zoom 的几个人明明都在北美,但是会议数据却要通过中国服务器。

  还有会议的密钥是在中国的服务器上生成的。

  想象一下,如果是中国人在国内开会,但是数据全都经过美国,密钥也在美国生成,难免不让人怀疑啊,所以用户当然不干了。

  在外界的质疑声中,Zoom 只好加入给用户选择任意选择服务器的功能,前提是付费,免费用户仍然没有选择的权利。

  至于为何要用中国服务器,Zoom CEO 袁征也公开解释,因为新冠疫情,导致用户数量激增,去年 12 月每日用户才 1000 万,今年 3 月已经增长到 2 亿,需要大量增加服务器。

  所以 Zoom 才不得不去选择中国的服务器,因为没有考虑到地理因素,某些会议可能会被链接到中国的服务器上。

  但这种解决问题的进度,现在网友们可等不了。

  都已经在给 Zoom 提供“抄作业”参考了。

  网友:抄下开源软件的作业吧

  既然想用高级功能还要加钱,那就只能让部分用户叛逃了。Zoom 不安全又不免费,那就找个更安全的免费软件替代它吧。

  国外饱受 Zoom 折磨的网友推荐使用开源软件 Jitsi Meet,不仅免费,而且更安全。更重要是让 Zoom 看看,人家一个免费软件是如何做加密的,Zoom 好好学着点。

  和其他视频会议软件一样,Jitsi Meet 用户只需分享一段网址即可组织视频会议。

  但与 Zoom 不同的是,如果你仅知道这个网址,是无法侵入会议现场的,打开后也只能看到一片片“雪花”。

  这是因为你没有端到端的密钥。参加会议的唯一方法是拥有端到端密钥的特权。然后在网址之后加入一段密钥,就能看见其他同事啦。

  每个人密钥都不相同,有几个人参会就有几组密钥,视频内容都是在本地完成加密和解密。

  以上只是官方的一个演示,考虑到浏览器记录可能会泄露你的密钥,Jitsi 下一步将考虑使用新的算法处理密钥的交换和管理方式,进一步提高安全性。

  Jitsi Meet 不是什么跟风之作,而且要说到历史,Zoom 也得叫前者一声大哥。

  Zoom 公司是 2011 年才创立,而 Jitsi Meet 早在 2003 年就有了,最初还是斯特拉斯堡大学在读博士生 Emil Ivov 的项目。

  △ Emil Ivov

  没错,这个斯特拉斯堡就是那个诞生“白色相簿”的地方,不知道袁征看到了 Emil Ivov,会不会问一句:“你为什么这么熟练啊?”

  因为最近的疫情,加上 Zoom 不给力,Jitsi Meet 开源项目又火了起来,短短几天之内 GitHub 上的活跃度大增。

  真是 Emil Ivov 和一众网友用熟练的技巧教袁征如何做软件。

  求助一则

  不过,Zoom 短时间能改完安全漏洞吗?

  看起来是难了。

  但更难的是疫情之下把 Zoom 等视频会议当刚需的企业和用户。

  比如我们量子位,编辑部就离不开 Zoom,但现在每天目见耳闻这样的隐私安全漏洞,又怎能安心?

  现如今真是骑虎难下,Zoom 有隐私安全问题,但流畅度、使用体验和跨国远程协作都很好,要“迁移”就得找个一样的体验、更好的安全的软件。

Published by

风君子

独自遨游何稽首 揭天掀地慰生平

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注