Zoom宣布90天資安強化計畫，聘請臉書前安全長擔任外部顧問

爆紅的Zoom陸續遭揭露多項資安問題引發關注，上周Zoom創辦人兼執行長袁征緊急滅火，宣布凍結新功能開發90天，全力強化平臺安全與隱私，周三袁征進一步宣布最新措施，包括聘請前臉書安全長Alex Stamos擔任外部資安顧問、成立資安長會議及顧問委員會。

第一項措施是成立Zoom資安長會議及顧問委員會。這個資安長會議，集結匯豐銀行、NTT Data、建築管理軟體公司Procore，以及抵押品管理軟體業者Ellie Mae等業者的資安長，目的在針對Zoom的隱私、安全及科技議題及最佳實作，提供意見及技術交流。而資安長會議中還將成立顧問委員會，這些資安長將擔任袁征在資安及隱私方面的顧問。初期成員將包括VMWare、Netflix、Uber、藝電（Electronic Arts）等公司的資安長。

措施之二是聘請Yahoo及臉書安全長Alex Stamos擔任平臺安全的外部顧問，協助Zoom強化資安、隱私和安全能力。Stamos於2018年離開臉書後即在史丹佛大學教書，領域為資訊安全。目前身份是史丹佛大學網際網路展望臺總監，此外也兼任哈佛大學、加州大學柏克萊分校資安研究顧問，以及北約安全顧問。

Stamos周三也說明他何以接下這個任務。原因之一是從自己8歲女兒的課表，排滿了以Zoom遠距上課的情形，對Zoom受歡迎程度感到驚訝，然而從技術層面來看，這個挑戰也太難得，以致於令人無法拒絕。

其次是技術考量。Stamos說Zoom在這幾個月內，從一個中型企業IT公司，迅速成為數千萬人工作、學習及生活不可或缺的一部份，作為一個曾掌管過集結數千臺伺服器、支援數千萬用戶網路通訊的資料中心的人，Stamos知道一個大型系統管理起來，需要花費多少心力，他說，Zoom幾周內面臨超大負荷，卻幾乎沒有傳出什麼斷線問題，任何管過大型系統的人，都會覺得Zoom已創造了奇蹟，而使其中的安全挑戰更為吸引人。

Stamos並說，Zoom原本作為企業協同的工具忽然被拿來作為虛擬教室、虛擬診間、虛擬內閣等應用，引發隱私、信任和安全問題，但他以教授資安的經驗指出，程式碼瑕疵和密碼技術的確有關，不過大部份科技對人的資安危害，是出自人們以有害方式在使用它。

Stamos指出，Zoom在核心應用安全、加密設計及基礎架構安全上，的確有待改進，但是Zoom面臨的問題，是所有協同軟體供應商都會碰到的，就是如何讓客戶獲得能力，卻不讓想惡搞它的人有這個機會。

隨著全球數千萬人在家工作與隔離，使Zoom用戶從去年1千萬人，短短3個月間增加到超過2億。然而上個月以來，Zoom陸續傳出可讓人中途闖入會議、爆出加密不完整、App有權限升級漏洞、以及將用戶流量導向中國伺服器等問題，引發紐約教育局、特斯拉及Google等公司禁用。臺灣方面，行政院及教育部也在昨日宣布，公務機關及學校禁止使用Zoom。