90 天安全性計畫進度報告:5 月 20 日

90 天安全性計畫進度報告:5 月 20 日

為了改善平台的安全性和隱私性,我們的 90 天計畫續執行,本週的「大小事問袁征」網路研討會重點討論了會議安全性、Zoom Phone 的 FedRAMP 授權,以及 Zoom 的錯誤賞金計畫。

Zoom 執行長袁征與 Zoom 產品總監 Oded Gal、Zoom 副總顧問兼法遵倫理長 Lynn Haaland 和 Luta Security 創辦人兼執行長 Katie Moussouris 一起主持了會議。Zoom 的技術長 Brendan Ittelson 和 Google 前隱私技術全球負責人 Lea Kissner (Zoom 的隱私和加密的顧問) 參加了問答階段。

過去一週的更新以及未來數週的計畫:

本週活動重點資訊

Zoom Phone FedRAMP 授權已獲得核准

我們今天宣佈 Zoom Phone 已獲得美國 FedRAMP 的授權核准。 此授權允許美國聯邦政府機構和承包商現在將 Zoom Phone 作為授權的 Zoom 政府解決方案產品使用。Zoom 政府解決方案為美國政府機構提供了完整的 Zoom UCaaS 平台,包括 Zoom Meetings 和 Zoom Chat、Zoom Video Webinars、會議室解決方案,以及目前新納入的 Zoom Phone。

會議安全

Lynn Haaland 介紹了 Zoom 在過去幾個月為了防止惡意破壞者干擾所進行的工作。這包括為某些使用者新增預設安全設定 (例如密碼和等候室)、在安全圖示中顯示會議內安全控制項、加入報告機制、與執法機構和其他線上平台密切合作,以及對使用者提供安全最佳做法的教育訓練。

Lynn 也重申了確保 Zoom 會議安全的下列提示:

  • 切勿公開分享您的會議 ID 和/或密碼。
  • 持續開啟 Zoom 預設安全功能,包括等候室、密碼和有限度的畫面分享。
  • 瞭解我們的主持人隱私和安全功能,例如「停用視訊」、「將與會者靜音」、「移除與會者」和「鎖定會議」。
  • 使用會議註冊。

Lynn 解釋,Zoom Meetings 不適用於在網際網路上發佈邀請的大型或公開活動。我們強烈建議您改用 Zoom Video Webinars,這能夠更確實地控制與會者和體驗。如需深入瞭解會議與網路研討會的比較,請參閱我們的支援頁面。

Zoom 的錯誤賞金計畫

身兼 Luta Security 創辦人兼執行長以及 Zoom 安全顧問的 Katie Moussouris 提及了 Zoom 的錯誤賞金計畫如何運作,其採用了眾包模型,由包括安全研究人員在內的所有各方找出錯誤並提報。她也指出,我們向更廣大的社群徵求了意見反映,以期改善錯誤賞金計畫。

關於 Zoom 5.0 的提醒

Zoom 5.0 已於 4 月 27 日全面上市,並將在 2020 年 5 月 30 日對於整個系統的帳戶全面啟用 AES 256 位元 GCM 加密。屆時,只有具有 5.0 版或更高版本的 Zoom 用戶端 (包括 Zoom Rooms) 才能加入 Zoom 會議。我們敦促所有尚未更新的使用者立即更新至 Zoom 5.0 或更高版本。Zoom 管理員請進入我們的 IT 管理員專頁管理這項更新。使用者可以至 zoom.us/testgcm 預覽 GCM 功能呈現的效果。

端對端加密設計白皮書將於週五發佈

我們將在本週五在 GitHub 發佈有關我們端對端加密產品的詳細密碼設計草案。我們將與密碼專家、客戶、推廣小組及其他組織進行討論並徵求意見反映,藉以評估最終設計。

問答

本週的網路研討會解決了與會者提出的以下幾個問題:

您如何報告安全錯誤

造訪 zoom.us/security 或寄送電子郵件至 security@zoom.us。

如果我使用 Chromebook如何下載 Zoom 5.0 用戶端

Chromebook 使用者可以從 Google 應用程式市集下載 Zoom Chromebook 應用程式,也可以使用始終是最新版的 Zoom 網頁用戶端。

Zoom 檢舉使用者時,是否會通知帳戶管理員?

主持人或聯席主持人使用「檢舉使用者」功能檢舉與會者時,檢舉將會寄送到 Zoom 的信任與安全團隊。不過,我們未來計畫在某些情況下某些帳戶的使用者被檢舉時通知其帳戶管理員。

主持人以外的任何人能否錄製會議?

主持人可以授權另一位與會者進行錄製,不過,未經主持人的同意,任何人都無法開始 Zoom 錄製。

您能否提供 5 22 日端對端加密設計草案的詳細資訊?

在 5 月 22 日發佈的草案將呈現建立加密視訊服務的計畫和設計。這份草案不會包含任何實際程式碼。我們期望在開發端對端加密產品之前收集和評估意見反映。

是否有任何計畫允許與等候室中的使用者進行私人聊天來協助驗證使用者身分?

Oded 表示,這是使用者要求最強烈的一項增強功能,目前在我們規劃的路線圖上。

為什麼移除全部取消靜音功能,是否計畫恢復這項功能?

我們移除使用者介面的「全部取消靜音」功能,因為主持人可以在未經與會者同意的情況下取消與會者的靜音。我們未來將恢復這項功能。不過,主持人需要徵得與會者同意才能在會議中取消與會者的靜音。

感謝您的支持

謝謝您參加本週研討會,也謝謝每一位提問的朋友!Zoom 努力成為全世界最安全的企業通訊平台,真心感謝您一路以來的支持。

若您錯過了本週的研討會時間,可以到這裡收看影片:

如欲反映意見或有疑問想問 Zoom,請寄電子郵件到 answers@zoom.us。歡迎報名參加下一週的「大小事問袁征」網路研討會

下載這則貼文的 PDF

不要忘記分享此篇發文