本文經AI新媒體量子位（公眾號ID:QbitAI）授權轉載，轉載請聯(lián)系出處。

客戶花錢找黑客，幫你產品找Bug……

這樣的客戶哪里找？這樣的產品又究竟有怎樣的福報？

Zoom，疫情之下最火爆的視頻會議公司，又上演了電影一樣的商業(yè)劇情。

繼沒實現端到端加密、北美的視頻通話繞道中國、一分錢能買71個Zoom賬號之后……

風口浪尖上的Zoom，又被其客戶Dropbox的前工程師曝出：客戶早就對Zoom的安全性感到瑟瑟發(fā)抖。

據紐約時報報道，Zoom的客戶之一——Dropbox在2018年就開始付錢給頂級黑客，讓他們幫忙找出Zoom的漏洞。

結果，不僅安全漏洞的數量和嚴重程度令人感到震驚，在他們將漏洞報給Zoom后，Zoom的修復速度也令人頭大。

比如，黑客在去年發(fā)現了Zoom的一個漏洞：通過Zoom，攻擊者能夠獲取蘋果macOS用戶的計算機控制權。

而Zoom花費了整整三個月的時間，在又有其他黑客發(fā)現了這一漏洞后，才終于完成了修復……

真魔幻啊。掏錢換掉不香嗎？

來自合作伙伴的push

Dropbox和Zoom自2018年起就達成了合作關系。

隨后，Dropbox將自身功能跟Zoom進行了整合。

不過，Dropbox還是留了個心眼。出于對視頻會議系統(tǒng)漏洞危及自身企業(yè)安全的考量，Dropbox決定自行監(jiān)控Zoom的安全漏洞。

別人家付費找黑客來debug，找的都是自家的bug。

而Dropbox的漏洞賞金計劃，卻是讓黑客給Zoom找漏洞。

對此，Dropbox是這樣解釋的：

在2018年，我們試行了一個計劃，將戰(zhàn)略合作伙伴和供應商納入我們的漏洞賞金計劃。在此計劃下，Dropbox會向發(fā)現合作伙伴平臺中漏洞的安全研究人員提供獎勵。

結果嘛，大概也無需多言。反正，連Dropbox自己的工程師都開始下場給Zoom抓蟲，并加裝了控件來控制Zoom帶來的風險。

據紐約時報報道，Dropbox的年度黑客競賽上，他們搞了一個山寨版Zoom——Vroom， 要求研發(fā)人員對其進行破解。而這樣做的目的，是教育自家工程師們不要像Zoom那樣犯安全錯誤。

替別人Debug，最終目的當然不止于找出漏洞。

Dropbox把這些bug都報給了Zoom，并催著Zoom進行修復。

Dropbox前安全主管Chris Evans就表示，Dropbox這樣的早期介入明顯幫到了Zoom，否則Zoom爆火之后，漏洞問題恐怕會帶來更多麻煩。

只不過，Zoom此前修復漏洞的速度并不總是讓人滿意。比如前文提到的針對MacOS的深層攻擊，Zoom花了三個月的時間才解決。

甚至，向紐約時報爆料的前Dropbox工程師認為，正是因為未能徹底改革其安全業(yè)務，Zoom才陷入了如今的困境。

對此，Zoom創(chuàng)始人兼CEO袁征曾在2019年7月發(fā)布公告，就未能及時回應漏洞問題道歉：

在過去90天的研究中，我們錯誤地判斷了形勢，反應不夠迅速，責任在我們。

不過道歉歸道歉，要是當時就完全改好了，也不會在疫情之下被錘爆。

疫情爆紅之下的Zoom

短短幾個月內，Zoom以一個只服務于公司業(yè)務的工作會議工具迅速轉變?yōu)槿虻谝坏囊曨l軟件。

前幾天，BondCapital合伙人、“互聯(lián)網女皇”Mary Meeker發(fā)布了最新一期的《互聯(lián)網趨勢報告》。其中就提到，以Zoom為代表的科技公司成為2020年疫情風口上的寵兒。

用戶數暴增20倍，股價也一路狂飆，截至4月20日收盤，Zoom股價為148.99美元。

雖然用戶數與股價齊飛，但各種問題也是接踵而至。

Zoombombing、與Facebook共享數據、缺乏端到端加密，服務器要經過中國，黑客叫賣zoom賬號一分錢購買71個……

Zoom就這樣，一下子處在了風口浪尖上。

當然，也有人為Zoom鳴不平，正是因為用戶數一下子暴增的20倍，讓Zoom有了很多前所未有的新用途，相信沒有哪一個視頻會議軟件能夠頂住這一層壓力。

前Facebook首席安全官、Zoom安全顧問Alex Stamos就表示：Zoom在疫情之中面臨很大的變化，公司必須以新的方式去思考隱私和安全問題。

好在這一次，面對問題，Zoom不拖沓了。

Grupo Banco Santander網絡安全研究負責人Daniel Cuthbert說：“Zoom的漏洞很嚴重，但并非唯一的、特殊的。現在，Zoom迅速采取了行動，這是令人欣喜的舉措。”

就在被錘爆后，Zoom公開宣布將停止開發(fā)新功能，將在90天的時間里面進行各種問題的修復，并將在每周舉辦一次研討會，直接對話Zoom CEO袁征。

這不，已經舉辦了兩次的研討會，在官網上已經有了會議記錄。

先是第一次研討會上，袁征與5,900多名與會者進行了交談，并通過YouTube直播加入了更多與會者。

會上，袁征主要是回答了一些問題，其中最為主要的就是關于“加密”。

我們使用的是AES加密的方式，密鑰是由我們的系統(tǒng)生成的。我們正在開發(fā)一項功能，以便從我們的客戶那里生成密鑰。我們正在將加密從AES-256 ECB升級到AES-256 GCM。未來的45天里，將致力于讓每個用戶都能夠升級程序，使用新功能。

而在第二次的研討會上，Zoom便有了實質性的進展。

首先是在人員調動上面，新的安全顧問Alex Stamos也在會上亮相。

Alex Stamos是前Facebook首席安全官，是斯坦福大學國際安全與合作中心的計算機科學家及兼職教授。

此外，還啟動了一個漏洞賞金計劃。

Zoom將與Luta Security合作，重新啟動漏洞賞金計劃。

Luta Security將通過90天的“康復”計劃全面評估Zoom的計劃，該計劃將涵蓋所有內部漏洞處理流程。

Luta Security由Katie Moussouris創(chuàng)建。

雖然名字大家陌生，但這個人，來頭真不小。

她曾在Microsoft、Pentagon上創(chuàng)建了漏洞賞金計劃，并還直接參與了美國國防部為黑客制定的第一個漏洞賞金計劃。

看來，Zoom要解決網絡安全的問題決心很大呀。

最后，袁征團隊也強化了一些安全功能。比如主持人或聯(lián)合主持人可以使用“鎖定會議”、“啟用等候室”、更改了視頻會議的默認設置、增強了密碼的復雜性等等。

甚至還對外公開了內部工作計劃時間表。

這一次，看起來是真心改過了。

但是，隨著疫情對視頻會議軟件的催熟。

目前Zoom面臨的競爭形勢大變，不說微軟和谷歌等巨頭紛紛加碼，加大在視頻會議方面的投入和產品體驗提升。

一眾中國公司，也紛紛“揭竿而起”，騰訊會議、字節(jié)跳動飛書、阿里云會議……就連百度內部IM工具百度Hi、網易內部IM工具，都紛紛傳出要“對外開放”的聲勢。

留給Zoom的時間，不多了。

留給客戶的可選項則更多了，流暢、安全，更要免費……Zoom之前“獨享”的蛋糕，現在競爭可是空前激烈的。

對了，你們視頻會議，用的啥軟件嘞？