黑客暗网叫卖Zoom账号密码,17年前开源软件现在又火了-风君雪科技博客

  文/量子位

  来源:量子位(ID:QbitAI)

  原标题:黑客暗网叫卖 Zoom 账号密码,1 分钱能买 71 个,加密大佬教袁征做人,17 年前开源软件现在又火了  

  晓查郭一璞发自凹非寺 

  量子位报道公众号 QbitAI

  Zoom,现在是风口浪尖上的企业了。

  疫情一来,用户数和股价齐飞,但问题也出现的不要太频繁。

  一方面进入隐私泄露危机,一方面又因为有中国的公司和服务器而被质疑。

  但,使用 Zoom 的用户们似乎更惨。昨夜,有媒体曝出 53 万 Zoom 账号密码被公开在暗网叫卖,而且价格特别便宜,1 个账号只卖 0.002 美分,总共才 10 美元左右。

  换算成人民币,差不多一个账号 0.00014 元,1 分钱能买 71 个。

  要知道,开 Zoom 会员,一个账号一个月就要 19.99 美元(140 元人民币)啊!注意这个价格不是年费,是月费,比视频网站外卖网站贵好多好多倍。

  而且,这些被公开出售的账号,还有不少是来自花旗银行、佛罗里达大学等知名机构的。

  可是,Zoom 的股价在被曝出消息后还大涨了。

黑客暗网叫卖Zoom账号密码,17年前开源软件现在又火了-风君雪科技博客

  真是难为这些用户了,不好用,还没得选。

  撞库获得 53 万账户密码

  用户账号密码泄露的消息,来自网络安全公司 Cyble。这家公司日常一直在监控暗网,好发现有没有自己的客户信息泄露或者被盗号。

  这次,Cyble 发现,在黑客网站上,有人开始卖 Zoom 账号了,总数 53 万个。

  除了用来卖的部分,黑客还挑出了 290 个“试用装”免费发布,这些账号来自佛蒙特大学、科罗拉多大学、佛罗里达大学等多所高校。

黑客暗网叫卖Zoom账号密码,17年前开源软件现在又火了-风君雪科技博客

  △ “试用装”账户

  美国媒体 BleepingComputer 联系了部分被免费曝光的用户,发现其中不少数据都是正确的,而有一位用户说,这个密码是他之前用的旧密码。

  这也就意味着,来源是——撞库。

  直白来说,就是在之前的各种账号密码泄露的事件中,黑客自己收集了一批账号密码,然后挨个在 Zoom 上试,把试成功的账号密码单独拉个表格拎出来卖。

  这就非常尴尬了,53 万账户,黑客肯定不会手动去一个一个复制粘贴登录,这个过程一定是自动进行的,但被撞库成功,意味着 Zoom 可能没有做足充分的保护措施。

  Cyble 买了这 53 万个账户,用来给自己的用户发账户泄露风险的提示。

  购买的价格是每个 0.002 美分,总共花费才 10.6 美元,74 块人民币。

  价格不贵,估计也挣不了几个钱,Cyble 说黑客把这些挂出来,主要是为了装哔——显得自己很厉害的样子。

  他们发现,每个账户被泄露的信息包括邮箱、密码、个人 url 地址,还有 HostKey——就是作为会议主持人管理会议的 6 位数 PIN 码。

黑客暗网叫卖Zoom账号密码,17年前开源软件现在又火了-风君雪科技博客

  而且,从域名来看,这些用户包括摩根大通的子公司大通银行、花旗银行,还有一些教育机构等等知名公司或机构。

  银行的账户被泄露,那可不知道会有多少秘密流出。

  所以都这样了,Zoom 知道了吗?怎么说?

  Zoom:我们一定改,但是得交钱

  不仅密码被盗用,Zoom 的服务器地址也被诟病。

  多伦多大学之前就发现,使用 Zoom 的几个人明明都在北美,但是会议数据却要通过中国服务器。

  还有会议的密钥是在中国的服务器上生成的。

  想象一下,如果是中国人在国内开会,但是数据全都经过美国,密钥也在美国生成,难免不让人怀疑啊,所以用户当然不干了。

黑客暗网叫卖Zoom账号密码,17年前开源软件现在又火了-风君雪科技博客

  在外界的质疑声中,Zoom 只好加入给用户选择任意选择服务器的功能,前提是付费,免费用户仍然没有选择的权利。

  至于为何要用中国服务器,Zoom CEO 袁征也公开解释,因为新冠疫情,导致用户数量激增,去年 12 月每日用户才 1000 万,今年 3 月已经增长到 2 亿,需要大量增加服务器。

  所以 Zoom 才不得不去选择中国的服务器,因为没有考虑到地理因素,某些会议可能会被链接到中国的服务器上。

  但这种解决问题的进度,现在网友们可等不了。

  都已经在给 Zoom 提供“抄作业”参考了。

  网友:抄下开源软件的作业吧

  既然想用高级功能还要加钱,那就只能让部分用户叛逃了。Zoom 不安全又不免费,那就找个更安全的免费软件替代它吧。

  国外饱受 Zoom 折磨的网友推荐使用开源软件 Jitsi Meet,不仅免费,而且更安全。更重要是让 Zoom 看看,人家一个免费软件是如何做加密的,Zoom 好好学着点。

黑客暗网叫卖Zoom账号密码,17年前开源软件现在又火了-风君雪科技博客

  和其他视频会议软件一样,Jitsi Meet 用户只需分享一段网址即可组织视频会议。

  但与 Zoom 不同的是,如果你仅知道这个网址,是无法侵入会议现场的,打开后也只能看到一片片“雪花”。

黑客暗网叫卖Zoom账号密码,17年前开源软件现在又火了-风君雪科技博客

  这是因为你没有端到端的密钥。参加会议的唯一方法是拥有端到端密钥的特权。然后在网址之后加入一段密钥,就能看见其他同事啦。

黑客暗网叫卖Zoom账号密码,17年前开源软件现在又火了-风君雪科技博客

  每个人密钥都不相同,有几个人参会就有几组密钥,视频内容都是在本地完成加密和解密。

  以上只是官方的一个演示,考虑到浏览器记录可能会泄露你的密钥,Jitsi 下一步将考虑使用新的算法处理密钥的交换和管理方式,进一步提高安全性。

  Jitsi Meet 不是什么跟风之作,而且要说到历史,Zoom 也得叫前者一声大哥。

  Zoom 公司是 2011 年才创立,而 Jitsi Meet 早在 2003 年就有了,最初还是斯特拉斯堡大学在读博士生 Emil Ivov 的项目。

黑客暗网叫卖Zoom账号密码,17年前开源软件现在又火了-风君雪科技博客

  △ Emil Ivov

  没错,这个斯特拉斯堡就是那个诞生“白色相簿”的地方,不知道袁征看到了 Emil Ivov,会不会问一句:“你为什么这么熟练啊?”

  因为最近的疫情,加上 Zoom 不给力,Jitsi Meet 开源项目又火了起来,短短几天之内 GitHub 上的活跃度大增。

  真是 Emil Ivov 和一众网友用熟练的技巧教袁征如何做软件。

  求助一则

  不过,Zoom 短时间能改完安全漏洞吗?

  看起来是难了。

  但更难的是疫情之下把 Zoom 等视频会议当刚需的企业和用户。

  比如我们量子位,编辑部就离不开 Zoom,但现在每天目见耳闻这样的隐私安全漏洞,又怎能安心?

  现如今真是骑虎难下,Zoom 有隐私安全问题,但流畅度、使用体验和跨国远程协作都很好,要“迁移”就得找个一样的体验、更好的安全的软件。