网络攻击者一度猖狂,他们在Discord、Reddit、甚至Twitter上公然分享那些易受攻击的ZOOM视频会议,YouTube、Tik Tok上有上传大量的“ZOOM炸弹”在线会议翻车事件……3月20日,纽约时报报道这一问题时,开始引发更大范围的关注……
ZOOM在3月20日发布了一篇题为“如何避免不速之客干扰在线会议”的文章,告诫用户“在社交媒体公开ZOOM会议链接”意味着任何人都可以参会,不要用个人会议ID创建公开会议、推荐用户使用会议“等候室”、设置仅限支持人分享屏幕、管理参会人等……但相对于网上激烈的负面反应,ZOOM的声音似乎力度不够、传播微弱。
越来越多的网络安全专家、学术机构开始挖掘ZOOM的安全漏洞,相继披露更多的问题。如ZOOM等候室的安全漏洞。
出于对师生安全隐私的担忧,纽约市教育局禁止使用ZOOM远程教学,1800个学校的110万师生用户被转移到微软的Teams。
谷歌、SpaceX、NASA、德国外交部、美国参议院、澳大利亚国防部队,加拿大政府禁止所有政府单位使用ZOOM。ZOOM的安全问题甚至引发了FBI的介入。
同时,ZOOM又被曝出虚假宣传,Zoom在官网、安全白皮书、app界面里等多处使用“端到端加密”(end-to-end encryption)一词,然后在接受The Intercept媒体采访时称:目前情况下,ZOOM是不可能支持端到端加密的。ZOOM视频会议是使用TCP和UDP两种协议结合的……于是被迅速“打脸”,Zoom被指责误导用户、虚假宣传、不正当竞争。
虽然ZOOM立刻澄清了 1)ZOOM说的“端到端“是指“用户端”到”ZOOM端”,2)ZOOM只收集有限的用户信息(IP地址、系统信息、硬件信息)用来提升服务,不解密、不允许员工访问任何ZOOM用户会议信息;3)不会出售任何用户信息
媒体、舆论并不买账,步步紧逼:不收集,不代表你不能收集;不解密;不代表你不能解密。
也就是说,在某种外部干预下下(比如政府或执法机关),ZOOM就有可能会迫于压力交出用户信息、视频会议内容。
越来越多的媒体、网络安全专家、人权维护者开始质疑ZOOM,甚至有人爆料说发现5万个ZOOM用户信息在黑市被售卖……
此时的Zoom,被彻底逼上战场。我们来看看Zoom怎么处理这场严重的信任的危机的。
首先,4月1日,Zoom发布了一篇CEO署名的文章:致用户的一封信,这是事件爆发以来Zoom第一篇正视问题、剖析问题、并给出解决方案的公告,这篇文章非常重要,堪称是公关道歉模板,文章里的内容,被多家媒体引用,也奠定了后面舆论引导的基调。
蜘蛛传媒已将该文章翻译为中文:https://www.spider-media.cn/1150
- CEO Eric Yuan亲自出面,表示对问题的最高级别重视,语气诚意十足。
对用户在疫情期间选择Zoom“倍感荣幸”、对安全问题“深感抱歉”、对记者和专家的调查“非常感谢”,承诺将“尽一切努力来保持您的信任”……Eric Yuan甚至在3天后接受《华尔街日报》采访时,毫不掩饰地说“在安全问题上,我真的搞砸了……”
然而,Eric不是真的就认怂了,真诚地道歉的同时,Zoom做了更多:
客观因素上,疫情期间用户暴增导致Zoom安全问题爆发。Zoom着重强调了这个“暴增”的幅度和随之而来的压力:用户场景更加复杂,新增用户主要为C端用户,没有专业IT指导,而Zoom产品是为有IT人员的企业用户设计的。小明上课迟到是不对,但是今天下大雨、还堵车,昨晚他家停电,手机没电闹钟没响……
表明态度,我们没闲着,我们一直在聆听各方意见、努力工作、积极采用各种方法解决问题。为了证明自己“一直”在这么做,后面细化到什么时间、针对什么问题、做了哪些动作(如果有进度,也放进去)。责怪一个一直在努力的孩子,是很残忍的。
Eric制定了一个详细的90天计划,从战略到执行上面面面俱到,并且保证每周对外更新进度,最大程度上保证了“透明”。
- 停止功能开发,立刻、有效地集中所有工程师资源在我们最大的信任、安全和隐私的问题上。(战略重心转移)
- 联合第三方专家和用户代表进行全面审查,了解并保证我们所有的新用户使用的安全性。(主动引进外部监督)
- 准备透明度报告,披露用户数据、记录或内容相关的索要请求。(主动透明化,打消疑虑)
- 加强我们现有的漏洞报告奖励计划。
- 联合业内领先的CISOs(首席安全官)成立CISO Council (首席安全官委员会),以持续安全和隐私最佳实践的持续对话。(引入外部专家咨询)
- 同时进行一系列的白盒子渗透测试(white box penetration tests),进一步发现和处理问题。(自查问题)
- 从下周开始,我将每周三举行一次在线会议(附会议注册地址超链——译者按),向我们的用户群体(community)提供安全与隐私相关的更新。
一个号称通过研究信息监管来保护网络信息安全、言论自由和人权的独立机构——加拿大公民实验室(Citizen Lab),——4月3日发布了一篇洋洋洒洒的报告,报告开篇第一点就是:Background: A US Company with a Chinese Heart? (背景调查:一个穿着美国小马甲的中国企业?)
Citizen Lab在美国、加拿大测试了几个视频会议,发现参与传输的服务器,有的在是中国,因此暗示:ZOOM将海外视频会议资料传送到中国。
担心证据不足,他们又深挖了ZOOM背景:ZOOM在中国有3家子公司、700个开发人员,Eric Yuan又是华人背景,意思是:你懂的哦……Citizen Lab又饶有兴致地添油加醋:ZOOM你作为一家美国公司,81%的营收来自北美,大部分的开发人员却放在中国,一边赚美国人的钱,一边给中国人发工资(洋装虽然穿在身,你心依然是中国心)。特朗普的逆全球化政策背景下,加上新冠疫情导致美国失业率飙升,Citizen Lab极尽春秋笔法、话中有话……
果然,这篇报告发布后,被大量转发、引用,Zoom安全的担忧被升级到政治层面,Zoom甚至被渲染成是中国间谍。
对于加拿大公民实验室的攻击,Zoom采取的策略是:
- 快速响应:当天即刻回复一封博文《对于多伦多大学公民实验室的研究的回复》
- 不纠结于争议,直打论据,让谣言不攻自破:
- – 数据被传输到中国服务器,原因是Zoom地理围栏(geo-fencing)操作失误。
- – 安全问题,前几天说了,我们很重视,正在积极解决。
争议、猜测,很容易带来更多的舆论风暴,甚至引发更加不可控的舆论漩涡。Zoom的思路很明显,把问题锁定在“安全漏洞”这个可控的事实上,而且态度很清晰,承认产品漏洞,我们改,但不接受被放大的臆测。Zoom其实是在引导焦点
“失误”和“坏”是完全不一样的犯错性质,对那些因为成长太快而犯错误的孩子,人们通常是会选择原谅的,而对于“使坏”,人们是深恶痛绝的。Zoom在尽力把问题归结于“失误”,因为对于这些关于“坏”的指责,比如“黑市卖用户数据”、“中国间谍”等,如果对方捕风捉影没有证据,Zoom则不予回应,如果有“证据”,则是直击证据,因此避免了在危机浪尖时,大众目光过于聚焦于这些指责。
并且,这一次,Zoom也吸取了之前的教训,不再传达任何模糊、错误信息、消耗大众信任,Zoom之后的信息,几乎都是以此为基调、口径一致,按照“90天计划”步步更新、行动不断细化、更加有力,如5.8日收购Keybase以加强加密技术。
一个月后,纽约市教育局重新允许使用Zoom远程教学,Google搜索Zoom,负面新闻量大幅下降。
6月2日,Zoom发布Q1季报,Zoom季度营收大增169%,Non-GAAP净利同比激增5倍。公司市值高达586.69亿美元。这是一个什么概念?百度的市值才369亿美元,Zoom的市值等于1.59个百度,等于2.3个Twitter。
从Zoom股价来看,3月底的危机短暂地将Zoom股价拉低,但是4月7日开始,Zoom股价开始攀升,也就是说,4月初Zoom发布的一系列危机解决策略是凑效的,资本和市场不仅选择了原谅Zoom,并且给与这家快公司更高的期望。
人人都会犯错,尤其快速成长的公司,公司的配套设置还未完善,快速增长时,问题很容易被迅速扩大,随之而来的是波涛汹涌的负面危机,很可能让你前功尽弃、一夜打回解放前,甚至灰飞烟灭。
人人都想成为风口的猪,出门左转忽遇风口,然后乘风而起、羽衣蹁跹,市值也一跃而起,令人望尘莫及。然而,风除了能把猪吹起来之外,还会卷起风沙、吹翻一切,让你在你惊慌失措中头破血流。
危机处理的关键,是快速传达态度和信心,如何让大家相信你能迅速爬起来、站的更高。那些杀不死你的,让你变得更坚强,你强,消费者、投资者才会对你有更强的信心。
参考资料:
1.The Intercept: ZOOM MEETINGS AREN’T END-TO-END ENCRYPTED, DESPITE MISLEADING MARKETING
2.Citizen Lab: Move Fast and Roll Your Own CryptoA Quick Look at the Confidentiality of Zoom Meetings
3.Citizen Lab: Zoom’s Waiting Room Vulnerability
4.New York Times: Zoombombing’: When Video Conferences Go Wrong
5.Business Insider: Researchers found and bought more than 500,000 Zoom passwords on the dark web for less than a cent each
