一年前，两名澳大利亚人乘坐8小时的航班飞往新加坡，参加由新加坡主办的现场黑客比赛。 在3万英尺高的地方，除了缓慢的连接之外，他们决定通过黑客攻击来启动，这是他们知道的许多Dropbox员工使用的视频会议服务。 黑客很快发现了Zoom软件中的一个主要安全漏洞，这可能使攻击者能够秘密控制某些用户的Mac电脑。 据三位前Dropbox工程师称，Dropbox的安全工程师正是对Zoom的那种恐惧。 现在，Zoom的视频会议服务已经成为数亿人在家避难的首选通信平台，其隐私和安全问题的报道也激增。 Zoom的支持者，包括著名的硅谷风险投资家，都表示批评的冲击是不公平的。 他们认为，Zoom最初是为企业设计的，不可能预见到一场大流行病会使大批消费者在几个星期内蜂拥而至，并将其用于根本没有打算的目的——比如小学课程和家庭庆祝活动。 ”不过，前Dropbox工程师表示，Zoom目前的困境可以追溯到两年或更长时间，他们认为，Zoom公司未能在此前对其安全措施进行彻底改革，从而使其业务客户面临风险。 Dropbox越来越担心视频会议系统中的漏洞可能会损害其自身的公司安全，这家文件托管巨头采取了不寻常的步骤来维护Zoom的安全实践，据这位前工程师表示，他们匿名发言是因为他们没有被授权公开讨论他们的工作。 作为其供应商和合作伙伴的新安全评估计划的一部分，Dropbox在2018年开始私下向顶级黑客提供奖励，以找到Zoom和其他几家公司的软件代码漏洞。 前Dropbox工程师说，他们对黑客在Zoom代码中发现的安全缺陷的数量和严重程度感到震惊，并对Zoom修复它们的缓慢感到不安。 在Dropbox向视频会议服务背后的加州公司Zoom VideoCommunications展示了来自新加坡事件的黑客发现后，Zoom花了三个多月的时间才修复了这个错误，这位前工程师说。只有在另一个黑客以相同的根本原因公布了不同的安全缺陷之后，才对漏洞进行缩放。 Zoom的突然流行——上个月仅一天就有近60万人下载了这款应用程序——让研究人员和记者对它进行了更多的审查，并迫使该公司应对一系列安全事件。 三周前，美国联邦调查局警告说，它收到了多份报告，称巨魔劫持了Zoom上的公立学校课程，以显示色情内容，并发出威胁——被称为“Zoombing”的恶意攻击。上周，副董事长的主板博客报道说，安全漏洞经纪人正在出售访问权——$500,000美元——以允许远程访问用户的计算机。 另外，黑客们还在黑暗网络上安装了50多万Zoom用户的密码和用户名。 对此，埃里克·S。Zoom首席执行官袁本月表示，该公司将在未来90天内投入所有工程资源，以维护安全和隐私。 上周，该公司宣布了一项针对发现其代码安全缺陷的黑客的改进奖励计划。 Stamos说，Zoom还在进行设计变更，以减少Zoombing等安全缺陷和滥用的潜在风险。 在一份声明中，Zoom说，它赞赏“在我们不断寻求加强平台的过程中，帮助并继续帮助我们识别问题的研究人员和行业合作伙伴。”它补充说，该公司“积极主动地致力于更好地识别、解决和解决问题。”在一份声明中，Dropbox表示，“感谢Zoom第一个参与”其供应商bug赏金计划。它补充说，Dropbox本身使用视频会议服务进行内部会议，Zoom已经成为“保持我们团队联系的关键工具”。在Zoom2019年首次公开发行之前，Dropbox在该公司进行了$500万次投资。 另外，Dropbox董事BryanSchreier是红杉资本(Sequoia Capital)的合伙人，该公司在首次上市前对Zoom进行了1亿$的投资。 甚至批评人士也承认，Zoom仍然是最方便用户的视频会议服务。

市场，并已成为大流行病期间的一个关键通信工具。 安全研究人员还赞扬Zoom改进了它的响应时间-快速修补最近的错误和删除给消费者带来隐私风险的特性。 zoom并不是第一家受欢迎程度骤增的科技公司，它暴露了它的问题。 微软、Twitter、谷歌、Face book和Uber都已结清与消费者安全或隐私有关的联邦费用。 Zoom的不同之处在于，另一家科技公司Dropbox在推动视频会议服务以解决其安全弱点方面发挥了不寻常的作用。 关于Dropbox角色的细节以前没有公开报道过。 包括Zoom在内的许多公司都有所谓的“bug赏金程序”，在这些程序中，他们向黑客支付费用，以弥补公司自身软件代码的缺陷。但是Dropbox已经将其文件共享服务与Zoom集成在一起，它做了一些新颖的事情。 从2018年开始，Dropbox私下提出支付它经常与之合作的顶级黑客，以发现Zoom软件的问题。 它甚至有自己的安全工程师确认错误，并寻找相关的问题，然后将它们传递给Zoom，根据前Dropbox工程师。 黑客们已经报告了几十个问题，Zoom到Dropbox，前雇员说。 这些问题包括适度的问题，比如攻击者接管用户在Zoom网络应用程序上的操作的能力，以及更严重的安全缺陷，比如攻击者使用Zoom软件在计算机上运行恶意代码的能力。 Dropbox也有自己的控制，以确保它与Zoom的集成不会给Dropbox用户带来风险。 前工程师说，Zoom在安全方面的弱点开始在Dropbox中蔓延。 作为2018年一年一度的全公司黑客竞赛的一部分，Dropbox工程师创建了一个Zoom的仿制品-他们称之为“Vroom”-并要求员工破解它。 Dropbox的员工成功地获得了Vroom会议代码，这将使他们能够崩溃假设的Vroom会议。 这次演习的想法，前Dropbox员工说，是教Dropbox工程师避免犯一些安全错误，Zoom已经犯了。 一些前员工说，Dropbox还促使Zoom引入了额外的安全措施，包括虚拟等候室功能，现在允许会议组织者在让每个参与者进入视频会议之前对他们进行审查。“我毫不怀疑，由于Dropbox早期的参与，Zoom能够更好地应对当前的“缩放”热潮。 Dropbox员工不是唯一发现问题的人。 在2018年底，安全漏洞评估公司Tenable的高级研究工程师David Wells发现了Zoom中的一个严重缺陷，该缺陷可能会使攻击者远程中断会议-甚至没有被召唤。 除其他外，Wells报告说，攻击者可以接管Zoom用户的屏幕控件，输入键盘并在他们的计算机上秘密安装恶意软件。 威尔斯还发现，这种弱点使他能够在Zoom聊天中以他人的名义发布信息，并启动人们的会议。 威尔斯直接向佐姆报告了他的发现，他说佐姆很快修补了缺陷。 在2019年初，Dropbox赞助了HackerOne新加坡，现场黑客竞赛。为了给Zoom施加压力，使其更加认真地对待安全问题，前Dropbox工程师说，Dropbox包括了在活动中提供bug奖励的公司之间的视频会议服务。 这位前Dropbox工程师说，甚至在事件开始之前，一名黑客报告了Dropbox的一个主要漏洞，这可能使攻击者能够在Wi-Fi上摆出缩放的姿势，并秘密观察用户的视频通话。 不久之后，两名澳大利亚黑客，一名安全公司Assetnote的工程师和高管，发现了一个漏洞，这个漏洞会让攻击者秘密控制运行苹果MacOS的某些计算机。 这一发现特别令人不安，因为攻击者可能会使用缩放漏洞访问用户计算机的最深层次。 但佐姆没有迅速解决这个缺陷。 相反，该公司等待了三个多月，直到第三位研究人员独立发现并公布了一个单独的、不那么严重的问题，其根本原因是相同的。 Zoom首席执行官袁随后写了一篇博客，对这一延误表示歉意。“我们误判了局势，没有做出足够快的反应——这就是我们的责任，”袁从去年7月起在文章中写道。 他补充说：“我们非常重视用户安全。