意見：Zoom對漏洞披露的處理凸顯了bug賞金NAs的黑暗面

儘管組織盡最大努力生成運行完美且安全的服務，但軟件錯誤可能並且確實發生，有些比其他錯誤更嚴重。

有時，即使是經驗最豐富的安全團隊也無法檢測到這些錯誤，這可能導致產品損害其用戶的數字安全性並使其暴露於網絡攻擊。許多公司設立了bug賞金計劃，以招募網絡安全研究人員幫助他們找到可能潛伏在他們系統中未被發現的漏洞。

從本質上講，研究人員（道德地）侵入供應商的系統，試圖利用可能存在的任何漏洞。如果研究人員發現了一個具有足夠風險的漏洞，研究人員可以收集價值數百美元甚至數十萬美元的漏洞獎金，具體取決於發現的漏洞的嚴重程度。 Bug賞金獵人經常充當網絡安全的無名英雄，使組織對確保消費者的數字安全負責。

但是，當一個組織與網絡安全研究員就研究人員發現的漏洞嚴重程度存在分歧時會發生什麼？當一個組織試圖通過禁止研究人員公開披露他或她的調查結果來試圖避免問責制時會發生什麼，或者只是在研究人員對漏洞公開保持公開沉默的情況下才同意支付錯誤獎金？當這種情況發生時，消費者的數字安全和個人隱私可能會受到嚴重危害。

Bug賞金計劃對於保持運行軟件的系統和消費者每天使用的安全和正常工作至關重要。他們鼓勵網絡安全研究人員和道德黑客站出來發現漏洞。理所當然地要求bug賞金獵人簽署保密協議（NDA）也是一種重要且有效的方法，可以防止任何潛在的嚴重漏洞在修補之前被公開暴露和利用。

也就是說，阻止研究人員公開披露漏洞的NDA規定可能會為公司提供正確解決故障的動力，讓用戶暴露於各種網絡威脅之下。

安全研究人員和bug賞金獵人在控制公司對保護用戶安全和保密方面做得很好。但是，當公司與安全研究人員進行可疑的NDA策略以避免問責制時，用戶安全性可能會面臨巨大風險。

鑑於最近一波高調的數據洩露事件以及涉及技術領域一些知名企業的重大安全疏忽，公眾應該從他們委託他們提供信息的公司中獲得更大的責任。全球各地的立法者已開始打擊行業，並一直在起草旨在保護消費者的立法，同時讓科技公司對他們如何處理敏感數據負責。像Facebook的馬克扎克伯格，微軟的比爾蓋茨和蘋果的蒂姆庫克這樣的頂級行業高管都承認需要更好的消費者隱私保護以及對公司更大的責任感。與此同時，消費者越來越不信任公司如何管理他們的私人數據。

考慮到這一趨勢，Zoom對網絡安全研究人員負責任地披露其視頻會議應用程序中的幾個嚴重漏洞的處理令人困惑。今年3月，網絡安全研究員Jonathan Leitschuh聯繫了Zoom，向公司通報了其Mac計算機視頻會議應用程序中存在的三個主要安全漏洞。除了允許惡意攻擊者在用戶的計算機上發起拒絕服務（DOS）攻擊的錯誤，以及即使在卸載Zoom應用程序後仍然在用戶的Mac上安裝了本地Web服務器的錯誤，Leitschuh也發現了嚴重驚人的漏洞，允許惡意的第三方實體遠程自動啟用毫無戒心的Mac用戶的麥克風和攝像頭。

根據Leitschuh的博客文章，Zoom在持續的談判中不斷淡化漏洞的嚴重性。 Leitschuh為Zoom提供了一個行業標準的90天窗口，可以在進行公開披露之前解決問題。他甚至為Zoom提供了他所謂的“快速修復”解決方案，以便在公司完成推出永久性修復工作的同時臨時修補相機漏洞。在為期90天的公開披露截止日期之前的會議期間，Zoom向Leitschuh提出了其提議的修復方案。然而，研究人員很快指出所提議的解決方案是不充分的，並且可以通過各種手段輕鬆繞過。

在為期90天的公開披露截止日期結束時，Zoom實施了臨時“快速修復”解決方案。 Leitschuh在他的博客文章中寫道：

“最終，Zoom很快就確認所報告的漏洞確實存在，並且未能及時解決問題並將問題提供給客戶。此配置文件的組織和擁有如此龐大的用戶群應該更加積極主動保護用戶免受攻擊。“

在對公司博客上公開披露的初步回應中，Zoom拒絕承認視頻漏洞的嚴重性，並“最終......決定不改變應用程序功能。”儘管（僅在收到披露後公眾強烈反對後） Zoom確實同意徹底刪除使該漏洞利用成為可能的本地Web服務器，該公司的初步響應以及Leitschuh關於Zoom如何選擇解決其負責任披露的報導顯示Zoom沒有認真對待這個問題，並且沒有興趣正確解決它。

保持安靜

Zoom曾試圖通過允許他從公司的bug賞金計劃中獲益而購買Leitschuh在這個問題上的沉默，條件是他簽署了過於嚴格的NDA。 Leitschuh拒絕了這個提議。 Zoom認為研究人員獲得了財務獎勵，但由於“不披露條款”而拒絕了。什麼Zoom忽略了提到的是，具體的術語意味著Leitschuh即使在被適當修補後也會被禁止披露這些漏洞。這可能會讓Zoom零獎勵修補公司認為無足輕重的漏洞。

NDAs是臭蟲賞金計劃中的常見做法，但要求研究人員永久保持沉默，類似於支付噓聲，最終不會使研究人員受益，也不會使用戶或公眾受益。 NDA的作用應該是讓公司有足夠的時間來解決和修復漏洞，然後再將漏洞暴露給公眾並可能被網絡犯罪分子利用。公司在努力修復漏洞時有合理的期望不披露，但主要是為了用戶的利益，而不是主要是為了在公眾輿論的法庭上挽回面子。另一方面，研究人員對金錢獎勵以及公眾對其努力的認可有合理的期望。用戶可以合理地期望他們使用的產品能夠盡一切可能保護他們的隱私。最後，公眾有合理的權利知道存在哪些安全漏洞以及正在採取哪些措施來保護消費者免受網絡威脅，以及消費者可以採取哪些措施來保護自己。

衝突的優先事項

Zoom很難比這更糟糕地處理這種情況。該公司專注於創建無縫的用戶體驗，完全忽視了保護用戶隱私的重要性。 “視頻是Zoom體驗的核心。我們的視頻優先平台是我們全球用戶的關鍵優勢，我們的客戶告訴我們他們選擇Zoom來實現無摩擦視頻通信體驗，“該公司在其回復中表示。但是Zoom在Mac計算機的後台安裝了本地Web服務器，有效地繞過了Safari網絡瀏覽器中的安全功能，為用戶提供了這種“無摩擦”的視頻體驗。在Mac上啟動應用程序之前，有問題的Safari安全功能需要用戶確認。 Zoom的解決方案是故意繞過它，並將用戶的隱私置於風險之中，以保存他們一兩次。

只有在披露後公眾強烈反對後，公司才採取有意義的行動。該公司的初步回复表明，即使考慮到應用程序存在的重大漏洞，它也無意改變應用程序功能。該公司似乎願意優先考慮用戶體驗而不是用戶安全性。雖然順暢的用戶體驗無疑對任何在線應用程序都有益，但它當然不應以犧牲安全性和隱私為代價。

對於公司的信譽，聯合創始人兼首席執行官Eric S. Yuan後來承認，Zoom處理的情況很糟糕，並致力於在未來做得更好。袁在一篇博客文章中表示，“我們錯誤地判斷了這種情況，並且沒有做出足夠快的反應 - 這就在我們身上。我們擁有完全的所有權，我們學到了很多東西。我可以告訴你的是，我們非常重視用戶安全，並且我們全心全意地致力於讓用戶做到正確，“並補充說”在這種情況下，我們當前的升級過程顯然不夠好。我們已採取措施改進接收，升級和關閉所有未來安全相關問題的循環流程。“

“我們錯誤地判斷了這種情況，並沒有做出足夠快的反應 - 這就在我們身上。

但最終，現實仍然是，如果研究人員同意Zoom提交給他的NDA條款，並且被禁止披露他的調查結果，我們很可能從未聽說過有關漏洞的任何內容。更糟糕的是，該公司可能永遠不會解決問題，使數百萬用戶容易受到嚴重的隱私侵犯。