Zoom宣布90天资安强化计划，聘请脸书前安全长担任外部顾问

爆红的Zoom陆续遭揭露多项资安问题引发关注，上周Zoom创办人兼首席执行官袁征紧急灭火，宣布冻结新功能开发90天，全力强化平台安全与隐私，周三袁征进一步宣布最新措施，包括聘请前脸书安全长Alex Stamos担任外部资安顾问、成立资安长会议及顾问委员会。

第一项措施是成立Zoom资安长会议及顾问委员会。这个资安长会议，集结汇丰银行、NTT Data、建筑管理软件公司Procore，以及抵押品管理软件业者Ellie Mae等业者的资安长，目的在针对Zoom的隐私、安全及科技议题及最佳实作，提供意见及技术交流。而资安长会议中还将成立顾问委员会，这些资安长将担任袁征在资安及隐私方面的顾问。初期成员将包括VMWare、Netflix、Uber、艺电（Electronic Arts）等公司的资安长。

措施之二是聘请Yahoo及脸书安全长Alex Stamos担任平台安全的外部顾问，协助Zoom强化资安、隐私和安全能力。Stamos于2018年离开脸书后即在史丹佛大学教书，领域为资讯安全。目前身份是史丹佛大学互联网展望台总监，此外也兼任哈佛大学、加州大学柏克莱分校资安研究顾问，以及北约安全顾问。

Stamos周三也说明他何以接下这个任务。原因之一是从自己8岁女儿的课表，排满了以Zoom远距上课的情形，对Zoom受欢迎程度感到惊讶，然而从技术层面来看，这个挑战也太难得，以致于令人无法拒绝。

其次是技术考量。Stamos说Zoom在这几个月内，从一个中型企业IT公司，迅速成为数千万人工作、学习及生活不可或缺的一部分，作为一个曾掌管过集结数千台服务器、支援数千万用户网络通讯的资料中心的人，Stamos知道一个大型系统管理起来，需要花费多少心力，他说，Zoom几周内面临超大负荷，却几乎没有传出什么断线问题，任何管过大型系统的人，都会觉得Zoom已创造了奇迹，而使其中的安全挑战更为吸引人。

Stamos并说，Zoom原本作为企业协同的工具忽然被拿来作为虚拟教室、虚拟诊间、虚拟内阁等应用，引发隐私、信任和安全问题，但他以教授资安的经验指出，程式码瑕疵和密码技术的确有关，不过大部分科技对人的资安危害，是出自人们以有害方式在使用它。

Stamos指出，Zoom在核心应用安全、加密设计及基础架构安全上，的确有待改进，但是Zoom面临的问题，是所有协同软件供应商都会碰到的，就是如何让客户获得能力，却不让想恶搞它的人有这个机会。

随着全球数千万人在家工作与隔离，使Zoom用户从去年1千万人，短短3个月间增加到超过2亿。然而上个月以来，Zoom陆续传出可让人中途闯入会议、爆出加密不完整、App有权限升级漏洞、以及将用户流量导向中国服务器等问题，引发纽约教育局、特斯拉及Google等公司禁用。台湾方面，行政院及教育部也在昨日宣布，公务机关及学校禁止使用Zoom。