漏洞安全問題，終究是給Zoom上了一課。

[[321043]]

3個月，1.9億用戶，股價下跌16%

3個月新增1.9億用戶。在新冠疫情全球爆發之際，9歲的Zoom迎來了機會。

根據公開數據，在創紀錄的一周下載量中，Zoom 的下載量是 2019 年第四季度美國每周平均下載量的 14 倍。遠程辦公的熱潮中，發力云視頻會議的Zoom真實地做到了“一口吃成一個胖子”，意氣風發莫過于此。

如果沒有后面的事，大抵Zoom會成為疫情期間最大的企業贏家，成為一樁商界美談。

可惜，沒有如果。

• 3 月 26 日，Motherboard指出，在 iOS 系統下載或打開 Zoom App 時，App內嵌的 Facebook SDK會向Facebook 傳送用戶的手機型號、時區、城市、運營商以及廣告唯一標識符等信息，而 iOS 版本的 Zoom甚至沒有在隱私條款中提前說明，就將用戶數據共享給Facebook。
• 隨后，Zoom承認了漏洞。
• 3 月 28 日， SpaceX 發給員工的一封電子郵件中要求員工立即停止使用 Zoom。信中是這么說的：“我們知道，我們中的很多人正在使用這一工具進行會議。但請使用電子郵件、短信或者電話作為代替通信的手段。”
• 3月30日，美國聯邦調查局(FBI)波士頓辦公室發布了關于 Zoom 的警告，提醒大家不要在 Zoom 進行公開會議或者廣泛分享鏈接，甚至還談到此前已經發生了多起身份不明的人入侵學校網絡課程的事件。
• 3 月 31 日，Zoom 再次被曝漏洞。Windows版 Zoom App爆出容易受到 NUC 路徑注入攻擊。由于Zoom 的“公司目錄”下會展示使用同一郵箱域名的同事姓名、頭像和郵箱，導致如果用戶用私人郵箱注冊，可能會看到同樣使用該郵箱域名的陌生人，而攻擊者利用聊天模塊的漏洞，能夠竊取點擊相關鏈接的用戶的 Windows 登陸憑據，允許訪問受害者的麥克風和攝像機。
• 與此同時，美國航天局發言人斯蒂芬妮·希爾霍爾茨也表示，NASA 也已經禁止員工使用Zoom 。

數據泄露、安全隱患、漏洞頻出……讓Zoom的快速擴張受到了質疑聲。而來自FBI、SpaceX、NASA的態度，讓事態進一步惡化。

受安全漏洞事件的影響，開盤前Zoom股價一度下跌16%。開盤約一小時后，股價下挫逾7%。CEO袁征(Eric Yuan)出面為漏洞事件道歉。Zoom宣布凍結新功能。

3個月，大起大落。最后留下的是Zoom對公眾的一概承諾：

• 立即凍結添加新功能;
• 立即轉移所有工程資源以專注于最大的信任，安全和隱私問題;
• 與第三方專家和代表用戶進行全面審查，以了解并確保Zoom所有新消費者使用案例的安全性;
• 準備透明度報告，詳細說明與數據，記錄或內容請求有關的信息;
• 增強當前的漏洞賞金計劃;
• 進行一系列白盒滲透測試，以進一步發現和解決問題。

漏洞事件帶來的一系列多米諾骨牌效應，最終讓Zoom囿于困境。

安全漏洞對企業的影響

對于Zoom來說，這幾乎是魔幻與現實并存的3個月，而將其從飛速擴張的美夢中叫醒的罪魁禍首就是“漏洞”。

漏洞對于企業來說有多重要?成也漏洞，敗也漏洞。

成，企業在漏洞檢測、挖掘、管理上形成體系，隨時隨刻地查“漏”補缺，不僅能夠強化企業安全能力，保障業務的順利開展，適當披露已修復的漏洞還能增強用戶對企業的信任。

敗，可以參考Zoom，或者更直接點，根據IBM的2019年數據泄露成本報告，美國數據泄露的平均成本為819萬美元。公司平均需要206天才能識別出泄露，嘗試解決這些問題則平均需要38天，漏洞給企業帶來的是直觀的高成本代價，同時，還有一系列信譽損失、業務難以維系、用戶流失等問題。

可以說，漏洞引發的安全問題幾乎成為企業業務開展的生命線。從Zoom事件中，我們或許應該深入思考如何降低安全漏洞對企業的威脅。

1. 安全是業務長遠發展的根基

為什么Zoom在過去9年都沒有發現的漏洞卻在最近1個月里被曝光。企業在收獲用戶激增的紅利下，有沒有思考用戶量提升后帶來的安全問題很重要。

在1000萬用戶規模下，如果企業認為“定期的漏掃就足夠了”、“內部能夠自己能發現、解決漏洞”，可一旦遇見用戶量大躍升等情況，再去做漏洞管理就來不及了，那些隱藏的漏洞會被外部(記者、安全研究人員、用戶等)提前發現、披露。顯然，從1000萬用戶到2億用戶，雖然Zoom做出了一些安全舉措(刪除了iOS客戶端中的Facebook SDK、更新了隱私政策)，但顯然還不夠、來不及。

在”致Zoom用戶的一封信”中提到：因為用戶數的激增，Zoom 員工一直都在全天候工作。因為“在設計這款產品時并沒有預見到，在短短幾周內，全球各地的人們突然緊急開始在家辦公、學習和社交?，F在，我們有了更廣泛的用戶群體，他們正以各種意想不到的方式使用我們的產品，這給我們帶來的挑戰是我們在設計平臺時所沒有預料到的。”

因此，我們一直強調安全一定是企業業務長遠發展的根基。在2億用戶規模下安全建設很重要，1000萬用戶規模下安全建設也不能忽視，讓業務從開始就融入安全的理念，才能應對突發的威脅，保障業務的長遠發展。

2. 重視漏洞全生命周期管理

目前披露的2個Zoom漏洞是如何披露的?是媒體記者、安全研究人員對外發聲。這個過程中沒有給Zoom留下足夠的反應和漏洞修補時間。

漏洞的披露暴露了Zoom在漏洞管理上的不足。有趣的是，我們發現了2019年Zoom對于用戶上報2個的漏洞的處理：

談到漏洞的全生命周期落地，這并不容易，但是企業成長的過程中必須要做的一個事情。生命周期包括了漏洞發現、漏洞跟蹤和漏洞記錄。也就是先發現漏洞，然后跟進、修復漏洞，最后要將各種情況的漏洞以及漏洞處理措施記錄在案。

然而，由于企業的安全能力有限度，僅僅依靠內部的安全團隊很難真正地及時發現所有潛在的漏洞(這也是出現被攻擊者利用的0day的主要原因之一)。第一步的發現沒有做好，后續的跟進與修復自然無法進行。因此，隨著企業安全建設的不斷深入，可以拓展漏洞發現渠道，譬如企業SRC(安全應急響應中心)、國家信息安全漏洞共享平臺、第三方漏洞提交平臺(如漏洞盒子等)。越來越多的企業開始擁抱眾測模式，通過白帽子的接入與鏈接，強化企業的安全能力。

同時，為規范網絡安全漏洞報告和信息發布等行為，避免漏洞夸大披露乃至被惡意利用的情況，2019年我國工信部發布了《網絡安全漏洞管理規定(征求意見稿)》，企業落地網絡安全漏洞管理時可以以此為參考。

最后，企業還可以適當通過漏洞獎勵、強化漏掃等手段進一步加強與安全研究/從業人員的交流，使其不是簡單直接向公眾公開披露。