黑客暗网叫卖Zoom账号密码,1分钱能买71个,加密大佬教袁征做人,17年前开源软件现在又火了...
晓查 郭一璞 发自 凹非寺
量子位 报道 | 公众号 QbitAI
Zoom,现在是风口浪尖上的企业了。
疫情一来,用户数和股价齐飞,但问题也出现的不要太频繁。
一方面进入隐私泄露危机,一方面又因为有中国的公司和服务器而被质疑。
但,使用Zoom的用户们似乎更惨。昨夜,有媒体曝出53万Zoom账号密码被公开在暗网叫卖,而且价格特别便宜,1个账号只卖0.002美分,总共才10美元左右。
换算成人民币,差不多一个账号0.00014元,1分钱能买71个。
要知道,开Zoom会员,一个账号一个月就要19.99美元(140元人民币)啊!注意这个价格不是年费,是月费,比视频网站外卖网站贵好多好多倍。
而且,这些被公开出售的账号,还有不少是来自花旗银行、佛罗里达大学等知名机构的。
可是,Zoom的股价在被曝出消息后还大涨了。
真是难为这些用户了,不好用,还没得选。
撞库获得53万账户密码
用户账号密码泄露的消息,来自网络安全公司Cyble。这家公司日常一直在监控暗网,好发现有没有自己的客户信息泄露或者被盗号。
这次,Cyble发现,在黑客网站上,有人开始卖Zoom账号了,总数53万个。
除了用来卖的部分,黑客还挑出了290个“试用装”免费发布,这些账号来自佛蒙特大学、科罗拉多大学、佛罗里达大学等多所高校。
△ “试用装”账户
美国媒体BleepingComputer联系了部分被免费曝光的用户,发现其中不少数据都是正确的,而有一位用户说,这个密码是他之前用的旧密码。
这也就意味着,来源是——撞库。
直白来说,就是在之前的各种账号密码泄露的事件中,黑客自己收集了一批账号密码,然后挨个在Zoom上试,把试成功的账号密码单独拉个表格拎出来卖。
这就非常尴尬了,53万账户,黑客肯定不会手动去一个一个复制粘贴登录,这个过程一定是自动进行的,但被撞库成功,意味着Zoom可能没有做足充分的保护措施。
Cyble买了这53万个账户,用来给自己的用户发账户泄露风险的提示。
购买的价格是每个0.002美分,总共花费才10.6美元,74块人民币。
价格不贵,估计也挣不了几个钱,Cyble说黑客把这些挂出来,主要是为了装哔——显得自己很厉害的样子。
他们发现,每个账户被泄露的信息包括邮箱、密码、个人url地址,还有HostKey——就是作为会议主持人管理会议的6位数PIN码。
而且,从域名来看,这些用户包括摩根大通的子公司大通银行、花旗银行,还有一些教育机构等等知名公司或机构。
银行的账户被泄露,那可不知道会有多少秘密流出。
所以都这样了,Zoom知道了吗?怎么说?
Zoom:我们一定改,但是得交钱
不仅密码被盗用,Zoom的服务器地址也被诟病。
多伦多大学之前就发现,使用Zoom的几个人明明都在北美,但是会议数据却要通过中国服务器。
还有会议的密钥是在中国的服务器上生成的。
想象一下,如果是中国人在国内开会,但是数据全都经过美国,密钥也在美国生成,难免不让人怀疑啊,所以用户当然不干了。
在外界的质疑声中,Zoom只好加入给用户选择任意选择服务器的功能,前提是付费,免费用户仍然没有选择的权利。
至于为何要用中国服务器,Zoom CEO袁征也公开解释,因为新冠疫情,导致用户数量激增,去年12月每日用户才1000万,今年3月已经增长到2亿,需要大量增加服务器。
所以Zoom才不得不去选择中国的服务器,因为没有考虑到地理因素,某些会议可能会被链接到中国的服务器上。
但这种解决问题的进度,现在网友们可等不了。
都已经在给Zoom提供“抄作业”参考了。
网友:抄下开源软件的作业吧
既然想用高级功能还要加钱,那就只能让部分用户叛逃了。Zoom不安全又不免费,那就找个更安全的免费软件替代它吧。
国外饱受Zoom折磨的网友推荐使用开源软件Jitsi Meet,不仅免费,而且更安全。更重要是让Zoom看看,人家一个免费软件是如何做加密的,Zoom好好学着点。
和其他视频会议软件一样,Jitsi Meet用户只需分享一段网址即可组织视频会议。
但与Zoom不同的是,如果你仅知道这个网址,是无法侵入会议现场的,打开后也只能看到一片片“雪花”。
这是因为你没有端到端的密钥。参加会议的唯一方法是拥有端到端密钥的特权。然后在网址之后加入一段密钥,就能看见其他同事啦。
每个人密钥都不相同,有几个人参会就有几组密钥,视频内容都是在本地完成加密和解密。
以上只是官方的一个演示,考虑到浏览器记录可能会泄露你的密钥,Jitsi下一步将考虑使用新的算法处理密钥的交换和管理方式,进一步提高安全性。
Jitsi Meet不是什么跟风之作,而且要说到历史,Zoom也得叫前者一声大哥。
Zoom公司是2011年才创立,而Jitsi Meet早在2003年就有了,最初还是斯特拉斯堡大学在读博士生Emil Ivov的项目。
△ Emil Ivov
没错,这个斯特拉斯堡就是那个诞生“白色相簿”的地方,不知道袁征看到了Emil Ivov,会不会问一句:“你为什么这么熟练啊?”
因为最近的疫情,加上Zoom不给力,Jitsi Meet开源项目又火了起来,短短几天之内GitHub上的活跃度大增。
真是Emil Ivov和一众网友用熟练的技巧教袁征如何做软件。
求助一则
不过,Zoom短时间能改完安全漏洞吗?
看起来是难了。
但更难的是疫情之下把Zoom等视频会议当刚需的企业和用户。
比如我们量子位,编辑部就离不开Zoom,但现在每天目见耳闻这样的隐私安全漏洞,又怎能安心?
现如今真是骑虎难下,Zoom有隐私安全问题,但流畅度、使用体验和跨国远程协作都很好,要“迁移”就得找个一样的体验、更好的安全的软件。
所以你的公司在用什么视频会议软件,你又有什么想吐槽的?欢迎投票参与:
笔芯,感谢~~
作者系网易新闻·网易号“各有态度”签约作者
— 完 —
2020年是个天文大年,4月8日有全年最大的超级月亮,6月有横跨中国的日环食,8月有英仙座流星雨,10月还有两年一次的火星冲日,12月有双子座流星雨。
我们邀请美国国家地理极致中国探享家刘允和天文爱好者们,组建了一个天文航天亲子社群,群里除了交流天文航天知识,还会组织一系列讲座、线下观星、航天探访活动。
如果你家有小朋友,也热爱天文航天,一起来玩啊:
天文航天亲子社群招募中,一起来玩吧~
关注AI发展现状,抓住行业发展机遇
量子位 QbitAI · 头条号签约作者
վ'ᴗ' ի 追踪AI技术和产品新动态
喜欢就点「在看」吧 !
黑客暗网叫卖Zoom账号密码,1分钱能买71个,加密大佬教袁征做人,17年前开源软件现在又火了...相关推荐
- Yupoo!(又拍网)架构 是目前国内最大的图片服务提供商,整个网站构建于大量的开源软件之上
操作系统:CentOS.MacOSX.Ubuntu 服务器:Apache.Nginx.Squid 数据库:MySQLmochiweb.MySQLdb 服务器监控:Cacti.N ...
- 客户花钱雇黑客,竟是为Zoom找bug:风口浪尖的视频会议No.1,安全问题如此魔幻...
白交 鱼羊 发自 凹非寺 量子位 报道 | 公众号 QbitAI 客户花钱找黑客,帮你产品找Bug-- 这样的客户哪里找?这样的产品又究竟有怎样的福报? Zoom,疫情之下最火爆的视频会议公司,又上演 ...
- HTTPHTTPS账号密码获取与ettercap局域网内DNS欺骗
kali系统命令: arpspoof -i 网卡 -t 目标IP 网关 #断网攻击 HTTP账号密码获取: 命令:echo 1 > /proc/sys/net/ipv4/ip_forward # ...
- HTTP/HTTPS账号密码获取
kali系统命令: arpspoof -i 网卡 -t 目标IP 网关 #断网攻击 HTTP账号密码获取: 命令:echo 1 > /proc/sys/net/ipv4/ip_forward # ...
- spotify电脑下载歌曲_流媒体音乐平台Spotify部分账号密码泄露 并非数据库泄露而是撞库...
流媒体音乐平台 Spotify 日前发布安全警告称 , 监测到多达35万名该平台用户账号出现异地登录和异常操作问题.该公司向受影响的用户发出安全邮件提醒用户尽快修改密码,否则自己的账号可能会在世界各地 ...
- BCH优势或从暗网彰显
谁都不会否认,如今头顶光环的BTC,最初的应用场景就从这个不太美好的地方开始.一方面暗网市场增强了加密货币的流通属性,另一方面加密货币也让这一产业更为隐秘. Recorded Future数据显示,在 ...
- kali局域网APR攻击三https降级为http+网站账号密码获取
https降级为http+网站账号密码获取 再次声明 小白一枚 小白一枚 小白一枚 更多教程和软件尽在:https://xiaobaif.cn 大家浏览网页时候可以看到有些网站是http开头的,有些是 ...
- 黑客捣毁了个暗网杀手网站,却险些触发了世界各地的多起杀戮...
来源:https://mp.weixin.qq.com/s/qcQ4WDuBKy0ZbAn0G66zg 几年前,伦敦的业余黑客Monteiro突然收到了一封邮件,邮件是一行粗体字:"自杀(还 ...
- 密码朋克的社会实验(一):开灯看暗网
密码朋克的社会实验(一):开灯看暗网 本文作者:karmayu.murphyzhang @云鼎实验室 -- 2018年3月8日,某视频网站800余万用户数据在暗网销售 2018年8月1日,某省10 ...
最新文章
- 如何为windows服务添加安装程序(转)
- set 数据类型的应用场景
- 让电脑开机时直接登录
- C++STL容器排序查找效率测试
- 理解ORACLE数据库字符集
- 2021宣城职业技术学院对口高考成绩查询,2021年宣城职业技术学院高考录取通知书查询 通知书什么时候可以收到...
- mysql myisam表加索引_MyISAM和InnoDB的索引实现
- Linux 下使用Postgre中的命令,要使用postgres这个用户
- Java:JSON解析工具-org.json
- ZOJ - 2402 DP方案数
- 关于用户身份及密码问题的说明
- mysql 主从_mysql主从复制异常中断分析处理
- 掌握c语言的运行环境,c语言考试大纲
- 黑帽SEO强势技术大纲
- 登录注册,文件增删查改实现
- 【笔记】c++ - 正则表达式: GNU Regex Library、PCRE, PCRE++、Boost.Regex
- 讲讲我是如何装一个性价比高的EYPC 9654双槽服务器的
- 腾讯自媒体平台:腾讯QQ看点上线创作中心
- linux 安装toolchain工具
- 堪比N6705和Power Monitor AAA10F 的高精度_高采样率_低功耗测试电源mPower1203
热门文章
- 无刷新删除 Ajax,JQuery
- ios 设计模式 MVC ,MVVM
- JAVA SE学习day_11:集合的相关应用、增强型for循环、foreach方法、数组与集合的相互转换
- iis7.5支持html5,IIS7.5 由于 Web 服务器上的“ISAPI 和 CGI 限制”列表设置,无法提供您请求的页面...
- 自加计数器c语言程序,计数器 加1 C语言 程序.doc
- java中的文件_JAVA中文件的操作
- SQLite中的FROM子句
- 文件哈希审计工具md5deep/hashdeep
- 更改Xamarin Android App名称
- Kail Linux渗透测试教程之免杀Payload生成工具Veil