会议软件Zoom偷偷向脸书发送用户数据被告 相关SDK已移除
2020-4-01 22:48 中华品牌网
品品 我要评论(0)
在视频会议软件Zoom借助疫情的“东风”一炮而红的当口,却被曝出未告知用户便向Facebook发送用户数据,还会泄露姓名、头像和邮箱地址给陌生人。
3月28日,Zoom发布更新,改进了相关功能,第二天又发布了新版隐私政策,与第三方广告商共享数据的条款得到细化。经科技媒体《Motherboard》验证,最新版App不再在开启时向Facebook发送数据。
...1...
Zoom向Facebook发送用户设备信息
最新数据显示,美国累计确诊人数直逼20万。据南都记者不完全统计,目前已有至少14个州和23个自治市下令要求居民待在家中,另有至少三个州和11个自治市的命令即将生效,涉及美国超过一半人口。
疫情之下,远程办公、上学成了刚需,Zoom站上了风口。
从1月底至今,Zoom的市值实现翻番。3月30日数据显示,占有最大市场份额的Zoom在美国的日活用户数达到创纪录的484万,是第二名的三倍。
3月26日,《Motherboard》刊文指出,在iOS系统下载或打开Zoom App时,App内嵌的Facebook SDK(软件开发工具包)会向Facebook传送用户的手机型号、时区、城市、运营商以及广告唯一标识符等信息。
这不仅仅发生在用户使用Facebook账号登录Zoom的时候,也发生在压根儿没有Facebook账号的用户身上——他们的信息也被发送给了Facebook。
事实上,Facebook就旗下SDK 可能收集用户数据一事做出了清晰地说明:“包括Facebook在内的第三方可能从你和其他App上收集或获取信息,并用于提供评估服务和定向广告。”
由于用户对SDK难以感知,Zoom有义务在隐私政策中明确告知SDK的存在。Facebook也严格规定:“如果你使用我们的SDK,就代表你保证就用户数据收集、共享和使用向用户提供了足够有力且明确的告知。”
...2...
Zoom:已移除Facebook SDK
次日,Zoom CEO Eric Yuan发表了回应。
他解释,一直到3月25日,他们才发现Facebook SDK收集了不必要的设备信息,但这些信息不包括参会者的姓名和笔记等,而是诸如广告唯一标识符、IP地址、磁盘空间等设备相关信息。
“我们决定从iOS客户端移除Facebook SDK,并修改了相关功能,现在用户仍然可以使用Facebook账号从浏览器登录Zoom。”他表示,用户已经可以下载最新版Zoom。
“我们真诚地为此次事件引发的关注道歉,也将持续致力于保护用户隐私”,Yuan说,“我们正在审查流程和协议,以便将来实现这些功能时,类似事件不会再次发生。”
29日,Zoom进一步修改了隐私政策,称从未出于广告目的向第三方提供有关Zoom用户活动的任何数据(包括视频、音频和聊天内容),用户可点击网站底部的Cookie选项修改。
“最重要的是,Zoom不会挖掘用户数据或向任何人出售任何用户数据。”Zoom在公告里写道。
...3...
加州居民告Zoom违反消费者隐私法案
尽管Zoom信誓旦旦不会侵犯用户隐私,但基于此前未明确告知用户就允许第三方SDK收集用户数据的行为,美国加利福尼亚州居民Rober Cullen还是对它提起了诉讼。
“广告唯一标识符允许公司向用户精准推送广告……这些信息被Zoom发送给了Facebook,无论用户有没有Facebook账号。”诉状称,如果Zoom事先告知其没有足够的安全能力,并允许第三方获取用户的个人信息,“我们不会使用它”。
因此,Cullen认为,Zoom违反了《加州反不正当竞争法》《消费者法律救济法》。此外,还因收集消费者个人信息前未充分告知、未经授权披露消费者个人信息,违反了《加州消费者隐私法案》的相关条款。
诉状还提到,Zoom通过共享用户数据获利,但并未披露具体金额。
“尽管Zoom修复了特定的安全漏洞,但我们仍想了解Zoom是否对其安全实践进行了更广泛的审查。”James说。对此,Zoom发言人回应称,将按照James的要求提供相关信息。
...4...
新漏洞会泄露用户姓名照片邮箱
3月31日,Zoom的另一个功能设置漏洞被《Motherboard》的同一个作者发现。
Zoom的“公司目录”下会展示使用同一邮箱域名的同事姓名、头像和邮箱,由系统自动判断,省掉了一个个添加同事的麻烦。但也带来了一个隐患:如果用户用私人邮箱注册,可能会看到同样使用该邮箱域名的陌生人。
“如果你用一个非标准服务商的邮箱(Gmail、Hotmail或雅虎等常用域名之外的域名)订阅Zoom,你可以看到所有使用那个小众域名的用户……你还可以给他们打视频电话。”Zoom用户Barend Gehrels说。
对此,Zoom发言人表示,Zoom 有一个域名表,会定期主动标识要添加的域名。Gehrels 反映的域名刚好不在此列,不过目前已经添加。他还提到,用户可以在“公司目录”功能中要求移除特定域名。
据悉,此前Zoom在个人隐私保护方面就遭受过不少质疑。
去年七月,一个安全研究员披露了Zoom的一个漏洞,任意网站都可以在不申请授权的情况下触发苹果电脑的摄像头。今年一月,又有安全公司发现Zoom存在被黑客监听通话的漏洞。
最近,电子前沿基金会指出,会议组织者可以看到参会者的Zoom窗口是否打开,也就是说,他们可以监控人们是否在专心开会。此外,管理员还能看到每个参会者的IP地址、位置信息和设备信息。
截至发稿,Zoom暂未作出回应。
编辑:刚刚