Ikan dan Domba Baijiao dari Kuil Aufei Laporan Qubit | Akun Publik QbitAI
Pelanggan menghabiskan uang untuk menemukan peretas dan membantu Anda menemukan bug dalam produk Anda ...
Di mana menemukan pelanggan seperti itu? Apa manfaat produk semacam itu?
Zoom, perusahaan konferensi video paling populer di bawah epidemi, telah menggelar cerita komersial seperti film.
Menyusul kegagalan enkripsi ujung-ke-ujung, panggilan video Amerika Utara melewati China, dan 71 Zoom menyumbang satu sen ...
Zoom di titik puncak badai diungkap oleh mantan insinyur pelanggannya Dropbox: Pelanggan sudah lama gemetar tentang keamanan Zoom.
Menurut New York Times, salah satu pelanggan Zoom, Dropbox, mulai membayar para peretas top pada tahun 2018 untuk membantu menemukan kerentanan Zoom.
Akibatnya, tidak hanya jumlah dan tingkat keparahan kerentanan keamanan yang mengejutkan, tetapi setelah mereka melaporkan kerentanan ke Zoom, kecepatan perbaikan Zoom juga mengesankan.
Misalnya, peretas menemukan kerentanan di Zoom tahun lalu: melalui Zoom, penyerang dapat menguasai komputer pengguna Apple macOS.
Dan Zoom butuh tiga bulan penuh. Setelah peretas lain menemukan kerentanan ini, akhirnya menyelesaikan perbaikan ...
Sangat ajaib. Bukankah harum membayarnya?
Mendorong dari mitra
Dropbox dan Zoom telah menjalin kemitraan sejak 2018.
Selanjutnya, Dropbox mengintegrasikan fungsinya dengan Zoom.
Namun, Dropbox tetap mengawasinya. Karena pertimbangan bahwa kerentanan sistem konferensi video membahayakan keamanan perusahaannya sendiri, Dropbox memutuskan untuk memantau sendiri kerentanan keamanan Zoom.
Orang lain membayar untuk mencari peretas untuk di-debug, dan yang mereka temukan hanyalah bug mereka sendiri.
Tetapi program bug bounty Dropbox memungkinkan peretas menemukan bug untuk Zoom.
Dalam hal ini, Dropbox menjelaskan:
Pada tahun 2018, kami menguji coba rencana untuk menyertakan mitra dan pemasok strategis dalam program bug bounty kami. Di bawah rencana ini, Dropbox akan memberikan penghargaan kepada peneliti keamanan yang menemukan kerentanan di platform mitra.
Hasilnya mungkin tidak perlu bicara lebih banyak. Bagaimanapun, bahkan teknisi Dropbox sendiri sudah mulai menemukan bug untuk Zoom dan memasang kontrol untuk mengontrol risiko yang ditimbulkan oleh Zoom.
Menurut New York Times, dalam kompetisi peretasan tahunan Dropbox, mereka membuat versi peniru dari Zoom-Vroom, dan meminta pengembang untuk memecahkannya. Tujuannya adalah untuk mendidik teknisi kami agar tidak membuat kesalahan keamanan seperti Zoom.
Debugging untuk orang lain, tujuan akhirnya tentu saja tidak hanya untuk menemukan celah.
Dropbox melaporkan bug ini ke Zoom dan mendesak Zoom untuk memperbaikinya.
Chris Evans, mantan direktur keamanan Dropbox, mengatakan bahwa intervensi awal seperti Dropbox jelas membantu Zoom, jika tidak, setelah ledakan Zoom, kerentanan dapat menyebabkan lebih banyak masalah.
Namun, kecepatan Zoom dalam memperbaiki kerentanan di masa lalu tidak selalu memuaskan. Misalnya, serangan mendalam terhadap MacOS yang disebutkan di artikel sebelumnya, Zoom membutuhkan tiga bulan untuk menyelesaikannya.
Bahkan mantan insinyur Dropbox yang menyampaikan berita tersebut ke New York Times percaya bahwa justru karena kegagalan untuk sepenuhnya mereformasi bisnis keamanannya, Zoom telah jatuh ke dalam kesulitan saat ini.
Menanggapi hal ini, Yuan Zheng, pendiri dan CEO Zoom, mengeluarkan pengumuman pada Juli 2019, meminta maaf karena tidak menanggapi kerentanan tepat waktu:
Dalam 90 hari penelitian terakhir, kami salah menilai situasi dan tidak merespons dengan cukup cepat. Tanggung jawab ada pada kami.
Namun, permintaan maaf adalah milik permintaan maaf.Jika benar-benar diubah pada saat itu, itu tidak akan meledak di bawah wabah.
Zoom di bawah epidemi
Hanya dalam beberapa bulan, Zoom dengan cepat berubah menjadi perangkat lunak video nomor satu di dunia dengan alat konferensi kerja yang hanya melayani bisnis perusahaan.
Beberapa hari yang lalu, partner BondCapital dan "Ratu Internet" Mary Meeker merilis edisi terbaru "Laporan Tren Internet". Di antara mereka, disebutkan bahwa perusahaan teknologi yang diwakili oleh Zoom menjadi kesayangan epidemi 2020.
Jumlah pengguna telah melonjak 20 kali lipat, dan harga saham juga melonjak. Pada penutupan 20 April, harga saham Zoom adalah $ 148,99.
Meski jumlah pengguna dan harga saham terbang bersama, berbagai masalah juga mengikutinya.
Zoombombing, berbagi data dengan Facebook, kurangnya enkripsi ujung-ke-ujung, server harus melalui China, peretas menjual akun zoom untuk membeli 71 seharga satu sen ...
Begitu saja, Zoom berada di titik puncak badai.
Tentu saja, ada beberapa orang yang mengeluh tentang Zoom. Justru karena jumlah pengguna yang melonjak 20 kali lipat sehingga memiliki banyak kegunaan baru yang belum pernah terjadi sebelumnya. Saya yakin tidak ada perangkat lunak konferensi video yang dapat menahan tekanan ini.
Mantan kepala petugas keamanan Facebook dan konsultan keamanan Zoom Alex Stamos mengatakan: Zoom menghadapi perubahan besar selama epidemi, dan perusahaan harus memikirkan masalah privasi dan keamanan dengan cara baru.
Untungnya, kali ini, dalam menghadapi masalah tersebut, Zoom tidak menunda-nunda.
Daniel Cuthbert, kepala penelitian keamanan siber di Grupo Banco Santander, mengatakan: "Kerentanan dalam Zoom serius, tetapi tidak unik dan khusus. Sekarang, Zoom telah mengambil tindakan cepat, yang merupakan langkah yang memuaskan."
Tepat setelah dipukul, Zoom secara terbuka mengumumkan bahwa mereka akan berhenti mengembangkan fitur baru, memperbaiki berbagai masalah dalam 90 hari, dan mengadakan seminar seminggu sekali untuk berbicara langsung dengan CEO Zoom Yuan Zheng.
Tidak, dua seminar sudah diadakan, dan sudah ada catatan pertemuan di situs resminya.
Pada seminar pertama, Yuan Zheng berbicara dengan lebih dari 5.900 peserta dan bergabung dengan lebih banyak peserta melalui siaran langsung YouTube.
Pada pertemuan tersebut, Yuan Zheng terutama menjawab beberapa pertanyaan, yang paling penting adalah tentang "enkripsi".
Kami menggunakan enkripsi AES, dan kuncinya dihasilkan oleh sistem kami. Kami sedang mengembangkan fitur untuk menghasilkan kunci dari pelanggan kami. Kami meningkatkan enkripsi dari AES-256 ECB menjadi AES-256 GCM. Dalam 45 hari ke depan, kami akan berusaha keras untuk mengizinkan setiap pengguna meningkatkan program dan menggunakan fitur baru.
Dalam seminar kedua, Zoom telah membuat kemajuan yang berarti.
Yang pertama tentang perpindahan personel, konsultan keamanan baru Alex Stamos juga hadir dalam pertemuan tersebut.
Alex Stamos adalah mantan kepala petugas keamanan Facebook, seorang ilmuwan komputer dan asisten profesor di Pusat Keamanan dan Kerjasama Internasional di Universitas Stanford.
Selain itu, program bug bounty diluncurkan.
Zoom akan bekerja dengan Luta Security untuk memulai ulang program bug bounty.
Luta Security akan sepenuhnya mengevaluasi rencana Zoom melalui rencana "rehabilitasi" 90 hari, yang akan mencakup semua prosedur penanganan kerentanan internal.
Luta Security dibuat oleh Katie Moussouris membuat.
Meski namanya asing bagi semua orang, orang ini sebenarnya tidak kecil.
Dia telah membuat program bug bounty di Microsoft dan Pentagon, dan langsung berpartisipasi dalam program bug bounty pertama yang dikembangkan oleh Departemen Pertahanan AS untuk peretas.
Tampaknya Zoom bertekad untuk menyelesaikan masalah keamanan jaringan.
Terakhir, tim Yuan Zheng juga memperkuat beberapa fungsi keamanan. Misalnya, tuan rumah atau rekan tuan rumah dapat menggunakan "rapat kunci", "mengaktifkan ruang tunggu", mengubah pengaturan default konferensi video, meningkatkan kerumitan kata sandi, dan sebagainya.
Bahkan jadwal kerja internal pun diumumkan.
Kali ini, tampaknya telah berubah dengan tulus.
Namun, seiring epidemi telah matang, perangkat lunak konferensi video.
Saat ini, situasi persaingan yang dihadapi Zoom telah berubah drastis, belum lagi raksasa seperti Microsoft dan Google telah meningkatkan upaya mereka untuk meningkatkan investasi dalam konferensi video dan peningkatan pengalaman produk.
Sejumlah besar perusahaan China juga telah "membuka" satu per satu, seperti Tencent Conference, ByteDance Feishu, Aliyun Conference ... Bahkan alat IM internal Baidu Baidu Hi dan alat IM internal Netease semuanya telah mengumumkan perlunya "terbuka untuk dunia luar". .
Tidak banyak waktu tersisa untuk Zoom.
Ada lebih banyak pilihan yang tersisa untuk pelanggan, mulus, aman, dan gratis ... Kue "eksklusif" yang dulu dimiliki Zoom, kini persaingannya sangat sengit.
Omong-omong, perangkat lunak apa yang Anda gunakan untuk konferensi video?
- Selesai -
Qubit QbitAI · Toutiao Ditandatangani
Perhatikan kami dan dapatkan perkembangan terbaru dalam teknologi mutakhir
- Apple merilis iPhone SE baru, mulai dari 3299 yuan; cracker disk jaringan Baidu ditangkap; fitur inti GitHub gratis dan terbuka | Geek Headlines
- Terlalu sulit bagi mahasiswa baru di Universitas Tsinghua ini! PR C ++ sangat sulit untuk dicari, hadiah spesialnya dikatakan mustahil
- "Father of the Game of Life" meninggal dunia karena pneumonia mahkota baru, mengingat kembali kehidupan seorang bulu babi matematika
- Sequoia Zhenge mengajarkan kewirausahaan | Klub tanpa biaya kuliah, tanpa ekuitas, dan tingkat penerimaan 0,8% ada di sini
- Baru malam ini | Profesor Universitas Sains dan Teknologi Hong Kong Li Shiwei bertanya tentang masa depan dan membuka rute baru di Greater Bay Area