受惠中國武漢肺炎疫情的雲端視像會議 Zoom,近日接二連三爆出資訊安全醜聞,即使創辦人袁征認為必須要正視問題,但卻未不停被揭發。最新有加拿大公民實驗室(The Citizen Lab)爆出,用戶在 Zoom 的會議可能連同密鑰被送到中國數據中心。
公民實驗室指出,即使用戶身在中國以外,使用 Zoom 會議時,有機會採用由中國伺服器傳出的加密密鑰,以及數據傳送到中國。其次,Zoom 的實際加密技術僅AES-128,而非公司所宣稱的 AES-256。
其後 TechCrunch 向 Zoom 求證,獲袁征親自回覆,並承認有會議內容「送中」情況。他指出,近日的確發生部分數據送到中國伺服器的情況,因近日用量大增,需要用上中國數據中心分流所導致,但卻並非「正常」。
他表示,Zoom 在全球多國設有數據中心支援用戶的視像會議,而且有地理圍欄(geofencing),讓北美用戶的會議用當地伺服器處理,或歐洲用戶的數據留在歐洲數據中心內。但當就近的數據中心用量飽和,會將流量轉撥去其他地區。
本來中國地區數據中心獨自運作,但自從 2 月起武漢肺炎爆發,也將中國數據中心加入全球白名單內,分流其他地區連線。部分用戶的會議因此被「送中」,但他形容是非常有限的情況。
不過,中國對私隱有特別要求,包括當地用戶數據要留在該國,而且中共可以「依法」存取。因此大多雲端服務都將中國劃分成獨立地區,與其他地區安全分隔。
公民實驗室的報告開宗明義質疑,Zoom 是「中國心」的美國公司(A US Company with a Chinese Heart)。Zoom 即使總部設在美國,在納斯達克市場上市,但主要經營在中國。該公司在中國有三間子公司,聘用至少 700 人,一方面用中國低成本節省美國的開發人員薪酬,但同時可以向美國企業銷售服務。