【笑談資安事,長老話你知】- Zoom Video Communication の謎思
在新冠炎肺疫情反反復復的情況下,新經濟常常受到衝擊,各地股市市場指數大上大落,疫情受控或疫苗開發有望,舊經濟抬頭,而疫情不受控或疫苗開發,又阻礙新經濟開動。Zoom Video Communications Inc. 作為新冠炎肺疫情必須的「網上會議工具」,又有「在家工作受益股」的綽號,有人認為她是比騰訊更騰訊,比 Tesla 更 Tesla 的新經濟公司。Zoom 在 2019 年 4 月在美國 NASDAQ 股票市場上市,IPO 以每股 36 美元上市,疫情下最高價位每股達 588 美元。一年 16 倍數的升幅,真是前無古人,不知後有冇來者。很多在學的年輕人,戲謔自己是「Zoom University」的學生,全世界的學校都可以免費使用 Zoom,而 Zoom 的業績也因此在 2020 年,以疫情前難以預料的速度在狂奔。甚至在中國,你的電郵是 CN 的域名就可以免費使用 Zoom 會議軟件。
為何 Zoom 股價升得這麼厲害?資安長老建議你去問問你的用財經顧問,但為何台灣政府禁止使 Zoom 軟件?Zoom 網上會議軟件是否有保安的漏洞? 一個華裔的 CEO—— Eric Yuan (袁徵) 開的軟件公司,為何特朗普不封殺他呢?種種謎思, 我會慢慢為你揭開真相。
很多人認為新經濟公司是一夜爆發起來,上市後股價爆升, 是泡沫經濟, 其實不可一概而論,騰訊磨劍十年,在近年才一飛沖天;Zoom 是由思科 Webex 的前公司副總裁 Eric Yuan (袁徵) 與 40 名工程師一起離開思科後,於 2011 年 4 月創立的一家新公司,最初名稱為 Saasbee Inc.。該公司在成立初期很難找到投資者,因為許多人認為視頻電話和會議市場已經飽和。2011 年 6 月,Zoom 從 WebEx 創始人 Subrah Iyar、思科高級副總裁兼總法律顧問 Dan Scheinman,以及風險投資家 Matt Ocko、TSVC 和 Bill Tai 籌集了 300 萬美元的種子資金。2013 年 9 月,Zoom 從 Horizon Ventures (李嘉誠先生的風險投資公司)和現有投資者那裡,籌集了 650 萬美元的 B 輪融資。2015 年 2 月 4 日,Zoom 獲得了 3000 萬美元的 C 輪融資。2017 年 1 月,Zoom 從紅杉資本(Sequoia Capital)籌集了 1 億美元,估值為 10 億美元,使 Zoom 成為所謂的股壇 IPO 前的「獨角獸」。在 2019 年 4 月 18 日,該公司通過首次公開募股成為美國 NASDAQ 股票市場的上市公司。在以每股 36 美元定價之後,股價在交易的第一天上漲了 72%。到交易的第一天結束,該公司的價值就達到了 160 億美元。李嘉誠先生的風險投資公司 Horizon Ventures 持有 8.6% Zoom Video Communications Inc 的股份;在 11 月 24 日, Zoom 的市值為 1,214 億美元,還超過了電腦巨人 IBM 的市值;李嘉誠先生風險投資公司的賬面盈利為 100 億美元以上,持股市值相當於李嘉誠三分一身家。李嘉誠先生這次投資比巴菲特更巴菲特,不負李超人的盛名。
袁徵 1970 年出生於中國山東泰安,1987 年考入山東礦業學院(今山東科技大學)應用數學專業,之後於中國礦業大學獲工學碩士學位。1990 年代中期計劃移民美國,曾經申請美國簽證連續八次被拒,1997 年 8 月第九次簽證申請成功後來到美國。同年加入 WebEx,憑良好的人際關係和代碼技術一路晉升至副總裁,2007 年被思科系統 CISCO 收購後成為思科工程部門副總裁。2007 年,袁徵終於完成美國之夢,成為一個美國公民。
2020 年 4 月 7 日,台灣行政院資通安全處昨日發出的公文表示,依據《資通安全管理法》,政府部門在資訊傳遞及安全防護等,都須依照相關規定處理,維護國家安全。台灣政府機構需禁止使用 Zoom 軟件進行辦公事宜,原因是對 Zoom 的軟件有資訊安全的疑慮,規定公務單位及各級學校立即改用其他產品教學或通訊。問題聚焦在 Zoom 的強烈「中國背景」是否影響到台灣的資訊安全,也有人認為這只是台灣社會「逢中必反」的過度反應。
Zoom 開始擁有海量使用者,也創造了一種新的「Zoom Bombing」( Zoom 轟炸惡作劇)現象。這種現象是指不被邀請的不速之客突然加入視頻會議,通常不是大聲叫囂,就是分享色情內容或發表種族主義言論,以騎劫視頻會議為目標。惡作劇者可以通過社交媒體平台或網站上公開共享的視訊會議鏈接,找到視訊會議的詳細信息。或者在某些情況下,只需猜測九位數的 ID 碼即可找到會議的細節。如果這些會議使用保護過的會議密碼,或不允許主持人以外的任何人進行分享視頻,就可以防止攻擊。
Zoom 的 CEO 袁徵在該公司為解決安全疑慮而採取以下的步驟:
- 對加密方法進行詳細說明,並且加強加密匙的強度,在中國以外的地方, 加密鑰匙儲存在美國的服務器上
- 發佈修復與蘋果 Mac 相關問題的程序
- 刪除從 iOS Zoom App 到 Facebook 的共享代碼
- 刪除與 LinkedIn 網站之連接,以防止不必要的數據洩露
- 發佈如何避免成為「Zoom轟 炸」受害者的說明
在 2020 年 10 月 28 日,Zoom 的主要管理層包括CEO & Founder、Chief Revenue Officer、Global Support Services、 CISO、Chief Product Officer、Chief Technology Officer、Chief Information Officer、Chief People Officer、 Chief Marketing Officer、Chief Financial Officer 共同簽署一份防護與私隱的公開信,Zoom 指出當用戶一起使用適當的防護措施時,Zoom 絕對可以提供安全可靠的虛擬會議環境。
袁徵是在中國出生的華人,在中國接受教育,又在中國有軟件開發的團隊,為何美國總統特朗普不封殺 Zoom 呢?
袁徵雖然是在中國出生的華人,但他也是美國公民,在選總統舉期間打壓亞裔移民是不智的;Zoom 是華爾街的「獨角獸」,她的初期投資者非富則貴,有紅杉資本(Sequoia Capital)和李家誠先生的風險投資公司 Horizon Ventures,還有CISCO 的前高層人員,粒粒都是天王巨星。Zoom 的市值之大,特朗普要是針對 Zoom,對他的選情幫助不大,反而適得其反。
(申利: 本人持有美國Zoom的股票)
作者:資安長老(Frankie Leung)
超過32年資訊安全工作經驗,現為UDS是Data Systems Ltd的的創辦人和首席資訊安全顧問,為香港政府、大企業、金融界提供資訊安全方案、顧問報告和資安培訓工作。