文/量子位

　　來源：量子位（ID：QbitAI）

　　原標題：黑客暗網叫賣 Zoom 賬號密碼，1 分錢能買 71 個，加密大佬教袁征做人，17 年前開源軟件現在又火了　　

　　曉查郭一璞發自凹非寺

　　量子位報道公眾號 QbitAI

　　Zoom，現在是風口浪尖上的企業了。

　　疫情一來，用戶數和股價齊飛，但問題也出現的不要太頻繁。

　　一方面進入隱私泄露危機，一方面又因為有中國的公司和服務器而被質疑。

　　但，使用 Zoom 的用戶們似乎更慘。昨夜，有媒體曝出 53 萬 Zoom 賬號密碼被公開在暗網叫賣，而且價格特別便宜，1 個賬號只賣 0.002 美分，總共才 10 美元左右。

　　換算成人民幣，差不多一個賬號 0.00014 元，1 分錢能買 71 個。

　　要知道，開 Zoom 會員，一個賬號一個月就要 19.99 美元（140 元人民幣）啊！注意這個價格不是年費，是月費，比視頻網站外賣網站貴好多好多倍。

　　而且，這些被公開出售的賬號，還有不少是來自花旗銀行、佛羅里達大學等知名機構的。

　　可是，Zoom 的股價在被曝出消息后還大漲了。

　　真是難為這些用戶了，不好用，還沒得選。

　　撞庫獲得 53 萬賬戶密碼

　　用戶賬號密碼泄露的消息，來自網絡安全公司 Cyble。這家公司日常一直在監控暗網，好發現有沒有自己的客戶信息泄露或者被盜號。

　　這次，Cyble 發現，在黑客網站上，有人開始賣 Zoom 賬號了，總數 53 萬個。

　　除了用來賣的部分，黑客還挑出了 290 個“試用裝”免費發布，這些賬號來自佛蒙特大學、科羅拉多大學、佛羅里達大學等多所高校。

　　△“試用裝”賬戶

　　美國媒體 BleepingComputer 聯系了部分被免費曝光的用戶，發現其中不少數據都是正確的，而有一位用戶說，這個密碼是他之前用的舊密碼。

　　這也就意味著，來源是——撞庫。

　　直白來說，就是在之前的各種賬號密碼泄露的事件中，黑客自己收集了一批賬號密碼，然后挨個在 Zoom 上試，把試成功的賬號密碼單獨拉個表格拎出來賣。

　　這就非常尷尬了，53 萬賬戶，黑客肯定不會手動去一個一個復制粘貼登錄，這個過程一定是自動進行的，但被撞庫成功，意味著 Zoom 可能沒有做足充分的保護措施。

　　Cyble 買了這 53 萬個賬戶，用來給自己的用戶發賬戶泄露風險的提示。

　　購買的價格是每個 0.002 美分，總共花費才 10.6 美元，74 塊人民幣。

　　價格不貴，估計也掙不了幾個錢，Cyble 說黑客把這些掛出來，主要是為了裝嗶——顯得自己很厲害的樣子。

　　他們發現，每個賬戶被泄露的信息包括郵箱、密碼、個人 url 地址，還有 HostKey——就是作為會議主持人管理會議的 6 位數 PIN 碼。

　　而且，從域名來看，這些用戶包括摩根大通的子公司大通銀行、花旗銀行，還有一些教育機構等等知名公司或機構。

　　銀行的賬戶被泄露，那可不知道會有多少秘密流出。

　　所以都這樣了，Zoom 知道了嗎？怎么說？

　　Zoom：我們一定改，但是得交錢

　　不僅密碼被盜用，Zoom 的服務器地址也被詬病。

　　多倫多大學之前就發現，使用 Zoom 的幾個人明明都在北美，但是會議數據卻要通過中國服務器。

　　還有會議的密鑰是在中國的服務器上生成的。

　　想象一下，如果是中國人在國內開會，但是數據全都經過美國，密鑰也在美國生成，難免不讓人懷疑啊，所以用戶當然不干了。

　　在外界的質疑聲中，Zoom 只好加入給用戶選擇任意選擇服務器的功能，前提是付費，免費用戶仍然沒有選擇的權利。

　　至于為何要用中國服務器，Zoom CEO 袁征也公開解釋，因為新冠疫情，導致用戶數量激增，去年 12 月每日用戶才 1000 萬，今年 3 月已經增長到 2 億，需要大量增加服務器。

　　所以 Zoom 才不得不去選擇中國的服務器，因為沒有考慮到地理因素，某些會議可能會被鏈接到中國的服務器上。

　　但這種解決問題的進度，現在網友們可等不了。

　　都已經在給 Zoom 提供“抄作業”參考了。

　　網友：抄下開源軟件的作業吧

　　既然想用高級功能還要加錢，那就只能讓部分用戶叛逃了。Zoom 不安全又不免費，那就找個更安全的免費軟件替代它吧。

　　國外飽受 Zoom 折磨的網友推薦使用開源軟件 Jitsi Meet，不僅免費，而且更安全。更重要是讓 Zoom 看看，人家一個免費軟件是如何做加密的，Zoom 好好學著點。

　　和其他視頻會議軟件一樣，Jitsi Meet 用戶只需分享一段網址即可組織視頻會議。

　　但與 Zoom 不同的是，如果你僅知道這個網址，是無法侵入會議現場的，打開后也只能看到一片片“雪花”。

　　這是因為你沒有端到端的密鑰。參加會議的唯一方法是擁有端到端密鑰的特權。然后在網址之后加入一段密鑰，就能看見其他同事啦。

　　每個人密鑰都不相同，有幾個人參會就有幾組密鑰，視頻內容都是在本地完成加密和解密。

　　以上只是官方的一個演示，考慮到瀏覽器記錄可能會泄露你的密鑰，Jitsi 下一步將考慮使用新的算法處理密鑰的交換和管理方式，進一步提高安全性。

　　Jitsi Meet 不是什么跟風之作，而且要說到歷史，Zoom 也得叫前者一聲大哥。

　　Zoom 公司是 2011 年才創立，而 Jitsi Meet 早在 2003 年就有了，最初還是斯特拉斯堡大學在讀博士生 Emil Ivov 的項目。

　　△Emil Ivov

　　沒錯，這個斯特拉斯堡就是那個誕生“白色相簿”的地方，不知道袁征看到了 Emil Ivov，會不會問一句：“你為什么這么熟練啊？”

　　因為最近的疫情，加上 Zoom 不給力，Jitsi Meet 開源項目又火了起來，短短幾天之內 GitHub 上的活躍度大增。

　　真是 Emil Ivov 和一眾網友用熟練的技巧教袁征如何做軟件。

　　求助一則

　　不過，Zoom 短時間能改完安全漏洞嗎？

　　看起來是難了。

　　但更難的是疫情之下把 Zoom 等視頻會議當剛需的企業和用戶。

　　比如我們量子位，編輯部就離不開 Zoom，但現在每天目見耳聞這樣的隱私安全漏洞，又怎能安心？

　　現如今真是騎虎難下，Zoom 有隱私安全問題，但流暢度、使用體驗和跨國遠程協作都很好，要“遷移”就得找個一樣的體驗、更好的安全的軟件。

總結

以上是生活随笔為你收集整理的黑客暗网叫卖Zoom账号密码，17年前开源软件现在又火了的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。