2020年4月2日 星期四

Zoom存資料外洩風險 私隱專員籲更新版本及加強保安

星島日報

疫情下全球的企業、學校甚至政府領導人採用視像會議處理日常事務,不過美國聯邦調查局表示,由華裔企業家袁征創立的視像會議程式Zoom近日兩度被黑客入侵,提醒民眾注意。馬薩諸塞州一間高中,上月使用Zoom網上授課時,有身分不明的人入侵網路教室,大聲說粗言穢語,並讀出老師的住址。州內另一間學校亦有入侵網路教室的人,在鏡頭前展示納粹德軍標誌的紋身。

香港個人資料私隱專員黃繼兒指,注意到 Zoom的海外用戶,包括政府,已就使用該應用程式的風險受到警告。在未經澄清和糾正相關的私隱問題之前,如果用戶對相關的資料保安感到疑惑,私隱專員亦作出同樣的警告。

私隱專員從傳媒報道得悉,Zoom曾將使用iOS手機應用程式用戶的資料轉移至 Facebook。Zoom就此已作出公開回應,表明客戶的私隱至關重要,並已更新iOS手機應用程式,取消了相關的轉移功能。私隱專員認同,當企業知悉其產品保障私隱不足而及時作出補救,屬良好行事方式。

私隱專員建議,若使用者仍決定使用Zoom, 必須將手機應用程式更新到最新版本; 以專為Zoom而建立的帳戶登入,盡量避免使用現有的其他帳戶作登入,以減低個人資料遭轉移或外洩的風險; 為會議設置密碼,而會議密碼及其連結應只給予與會者;密切注意帳戶任何異常活動;及保留所造成的任何損失的紀錄,以便將來有需要跟進時,仍有紀錄可循。

私隱專員一直倡議,採取「貫徹私隱設計」(Privacy by Design)及「預設私隱」(Privacy by Default)模式作為企業的核心考慮因素,而第三方供應商和企業的合作夥伴也應進行私隱影響評估(Privacy Impact Assessment),以防範於未然。

私隱專員與新加坡個人資料保護委員會共同製作了《資訊及通訊科技系統的貫徹數據保障設計指引》(Guide to Data Protection by Design (PbD) for ICT Systems),鼓勵機構從計劃之初已將數據保障相關的考慮因素納入構建的資訊及通訊科技系統中。《指引》提供資訊及通訊科技系統各階段軟件開發的實務指引和良好的數據保障做法,以協助機構採用貫徹數據保障設計的原則。

信報財經新聞

香港電腦保安事故協調中心(HKCERT)留意到有一種針對Zoom用戶的新興網絡攻擊,故提供10招保障Zoom會議安全。

對於所有Zoom用戶,建議使用最新版本的Zoom軟件和保安軟件、提防任何不明的UNC連結、切勿在會議期間分享機密資訊、使用有意義的顯示名稱,以及小心保護Zoom賬戶及留心可疑的賬戶活動。

另外,建議主持會議的單位保護會議私密性及防止非法入侵者、監察會議、小心處理會議錄像以確保安全及保護與會者私隱、保密賬號個人會議(Personal Meeting)ID,以及為網絡會議制定有關的保安政策。

HKCERT表示,上述10項措施可應用於保障其他同類軟件。但不論選擇哪種方案,亦應在使用前先了解其安全功能及弱點,以便更有效地保障網絡會議安全。

沒有留言: