全球新冠疫情,让远程办公系统迎来风口,视频会议公司Zoom因此爆红,但是过去的3个月里,Zoom却因此经历了创立以来最严重的品牌危机、信任危机。因为危机处理得当,公司不仅没有因此下滑,反而涅槃重生、取得了更加亮眼的成绩。
我们花了大量精力,梳理了这家科技公司在过去三个月里惊心动魄的日子,给大家分享,希望读了本文的你,在遇到类似品牌危机时,能够运筹帷幄。Zoom是一家由前思科Webex企业副总裁、华人移民Eric Yuan在2011年创建的公司,主要提供视频会议软件系统。
3月份,随着新冠疫情在全球迅速蔓延,视频会议系统ZOOM瞬间走红,成为人们远程办公、学习、社交的工具,ZOOM也趁机推出一些免费政策,吸引用户注册。据ZOOM透露,2019年12月月底,ZOOM日活跃用户大约1000万,今年3月份,该数字已经暴增到2亿,4月初达到3亿!不到4个月的时间里翻了30倍!甚至连英国首相鲍里斯、前美联储主席格林斯潘都在用Zoom。
忽然的受宠,也让ZOOM成为暴风雨的中心。
ZOOM炸弹(Zoombombing)
网络攻击者一度猖狂,他们在Discord、Reddit、甚至Twitter上公然分享那些易受攻击的ZOOM视频会议,YouTube、Tik Tok上有上传大量的“ZOOM炸弹”在线会议翻车事件……3月20日,纽约时报报道这一问题时,开始引发更大范围的关注……
ZOOM在3月20日发布了一篇题为“如何避免不速之客干扰在线会议”的文章,告诫用户“在社交媒体公开ZOOM会议链接”意味着任何人都可以参会,不要用个人会议ID创建公开会议、推荐用户使用会议“等候室”、设置仅限支持人分享屏幕、管理参会人等……但相对于网上激烈的负面反应,ZOOM的声音似乎力度不够、传播微弱。
越来越多的网络安全专家、学术机构开始挖掘ZOOM的安全漏洞,相继披露更多的问题。如ZOOM等候室的安全漏洞。出于对师生安全隐私的担忧,纽约市教育局禁止使用ZOOM远程教学,1800个学校的110万师生用户被转移到微软的Teams。
谷歌、SpaceX、NASA、德国外交部、美国参议院、澳大利亚国防部队,加拿大政府禁止所有政府单位使用ZOOM。ZOOM的安全问题甚至引发了FBI的介入。
虚假宣传、泄露用户信息
同时,ZOOM又被曝出虚假宣传,Zoom在官网、安全白皮书、app界面里等多处使用“端到端加密”(end-to-end encryption)一词,然后在接受The Intercept媒体采访时称:目前情况下,ZOOM是不可能支持端到端加密的。ZOOM视频会议是使用TCP和UDP两种协议结合的……于是被迅速“打脸”,Zoom被指责误导用户、虚假宣传、不正当竞争。虽然ZOOM立刻澄清了 1)ZOOM说的“端到端“是指“用户端”到”ZOOM端”,2)ZOOM只收集有限的用户信息(IP地址、系统信息、硬件信息)用来提升服务,不解密、不允许员工访问任何ZOOM用户会议信息;3)不会出售任何用户信息
但是,没人信。
媒体、舆论并不买账,步步紧逼:不收集,不代表你不能收集;不解密;不代表你不能解密。
也就是说,在某种外部干预下下(比如政府或执法机关),ZOOM就有可能会迫于压力交出用户信息、视频会议内容。
越来越多的媒体、网络安全专家、人权维护者开始质疑ZOOM,甚至有人爆料说发现5万个ZOOM用户信息在黑市被售卖……
ZOOM开始意识到事态的严重性。
此时的Zoom,被彻底逼上战场。我们来看看Zoom怎么处理这场严重的信任的危机的。
首先,4月1日,Zoom发布了一篇CEO署名的文章:致用户的一封信,这是事件爆发以来Zoom第一篇正视问题、剖析问题、并给出解决方案的公告,这篇文章非常重要,堪称是公关道歉模板,文章里的内容,被多家媒体引用,也奠定了后面舆论引导的基调。蜘蛛传媒已将该文章翻译为中文:https://www.spider-media.cn/1150
- CEO Eric Yuan亲自出面,表示对问题的最高级别重视,语气诚意十足。
- 渲染背景,在一定程度上获取同情和理解。
客观因素上,疫情期间用户暴增导致Zoom安全问题爆发。Zoom着重强调了这个“暴增”的幅度和随之而来的压力:用户场景更加复杂,新增用户主要为C端用户,没有专业IT指导,而Zoom产品是为有IT人员的企业用户设计的。小明上课迟到是不对,但是今天下大雨、还堵车,昨晚他家停电,手机没电闹钟没响……
- 我们做了什么
表明态度,我们没闲着,我们一直在聆听各方意见、努力工作、积极采用各种方法解决问题。为了证明自己“一直”在这么做,后面细化到什么时间、针对什么问题、做了哪些动作(如果有进度,也放进去)。责怪一个一直在努力的孩子,是很残忍的。
- 我们将做什么
Eric制定了一个详细的90天计划,从战略到执行上面面面俱到,并且保证每周对外更新进度,最大程度上保证了“透明”。
- 停止功能开发,立刻、有效地集中所有工程师资源在我们最大的信任、安全和隐私的问题上。(战略重心转移)
- 联合第三方专家和用户代表进行全面审查,了解并保证我们所有的新用户使用的安全性。(主动引进外部监督)
- 准备透明度报告,披露用户数据、记录或内容相关的索要请求。(主动透明化,打消疑虑)
- 加强我们现有的漏洞报告奖励计划。
- 联合业内领先的CISOs(首席安全官)成立CISO Council (首席安全官委员会),以持续安全和隐私最佳实践的持续对话。(引入外部专家咨询)
- 同时进行一系列的白盒子渗透测试(white box penetration tests),进一步发现和处理问题。(自查问题)
- 从下周开始,我将每周三举行一次在线会议(附会议注册地址超链——译者按),向我们的用户群体(community)提供安全与隐私相关的更新。
事态升级——“被红色”
Citizen Lab在美国、加拿大测试了几个视频会议,发现参与传输的服务器,有的在是中国,因此暗示:ZOOM将海外视频会议资料传送到中国。
担心证据不足,他们又深挖了ZOOM背景:ZOOM在中国有3家子公司、700个开发人员,Eric Yuan又是华人背景,意思是:你懂的哦……Citizen Lab又饶有兴致地添油加醋:ZOOM你作为一家美国公司,81%的营收来自北美,大部分的开发人员却放在中国,一边赚美国人的钱,一边给中国人发工资(洋装虽然穿在身,你心依然是中国心)。特朗普的逆全球化政策背景下,加上新冠疫情导致美国失业率飙升,Citizen Lab极尽春秋笔法、话中有话……
对于加拿大公民实验室的攻击,Zoom采取的策略是:
- 快速响应:当天即刻回复一封博文《对于多伦多大学公民实验室的研究的回复》
- 不纠结于争议,直打论据,让谣言不攻自破:
- – 数据被传输到中国服务器,原因是Zoom地理围栏(geo-fencing)操作失误。
- – 安全问题,前几天说了,我们很重视,正在积极解决。
- 信息清晰、一致
参考资料:
1.The Intercept: ZOOM MEETINGS AREN’T END-TO-END ENCRYPTED, DESPITE MISLEADING MARKETING
2.Citizen Lab: Move Fast and Roll Your Own CryptoA Quick Look at the Confidentiality of Zoom Meetings
3.Citizen Lab: Zoom’s Waiting Room Vulnerability
4.New York Times: Zoombombing’: When Video Conferences Go Wrong
5.Business Insider: Researchers found and bought more than 500,000 Zoom passwords on the dark web for less than a cent each