ข่าว Update ปัญหาด้านความปลอดภัย (security) และความเป็นส่วนตัว (privacy) ล่าสุดสำหรับ ZOOM ในประเทศไทย

คนไทยหายห่วง ZOOM แก้ปัญหาให้ท่านปลอดภัยกว่าเดิม

zoom 1toall security update.png

ต้องยอมรับว่าปัจจุบัน ZOOM เป็น Application ที่กำลังโด่งดังข้ามคืนจากสถานการณ์แพร่ะบาดของ Covid-19 ที่ทำให้พนักงาน อาจารย์ และนักศึกษาต้อง Work from Home และสาเหตุสำคัญที่ทำให้คนส่วนใหญ่เลือกใช้ ZOOM คือความเป็น User Friendly ที่ทุกคนสามารถใช้งานได้โดยง่ายแบบไม่ต้องเรียนรู้อะไรมากมาย นอกจากนี้ ZOOM เองก็เป็น Application ประชุมทางไกลที่ใช้ Internet ค่อนข้างน้อยถ้าเทียบกับ App ตัวอื่นในท้องตลาด จึงทำให้โอกาสที่จะใช้งานแล้วไหลลื่นไม่สะดุดมีมากกว่า Application อื่นที่เป็นประเภทเดียวกัน

อย่างไรก็ตามจากช่วงเวลาไม่กี่วันที่ผ่านมา ZOOM ถูกโจมตีเกี่ยวกับความความปลอดภัยและความเป็นส่วนตัวของข้อมูลของผู้ใช้งาน อันเนื่องจากช่วงนี้ นักล่ารางวัล (hacker news) ได้มีการแข่งขันในการหาช่องโหว่ประเภท Zero Day Vulnerability ของ application ZOOM ทำให้บรรดาแฮกเกอร์กอบโกยผลประโยชน์จากช่องโหว่นั้นกันไปเต็มเหนี่ยว ตั้งแต่รางวัลเป็นแสนไปจนถึงล้านบาท Bug Bouty Hunter

ตลอดระยะเวลาที่ผ่านมา หลายคนพบปัญหามากมายและได้ออกมาร้องเรียนกันในเรื่องของความปลอดภัย (Security) และ ความเป็นส่วนตัว (Privacy) ไม่ว่าจะเป็น การส่งข้อมูลผู้ใช้งานให้ Facebook, การไม่ได้เข้ารหัสแบบ End-to-End แบบ 100% หรือแม้แต่ข่าวเรื่อง Zoom มี bugs ที่ทำให้ถูกขโมยรหัสผ่าน Windows ได้ และ การถูกแฮกเกอร์เข้ามาป่วนการประชุม (Zoombombing)

ทาง ZOOM เองก็ยอมรับความผิดพลาด ที่อาจจะมองข้ามไปในบางจุด อันเนื่องมาจากแรงกดดันที่ต้องรับมือกับปริมาณการใช้งานที่สูงขึ้นมหาศาล จากเดิมมีผู้ใช้งาน 10 ล้านคน แต่ปัจจุบันได้มีการขยายไปถึง 200 ล้านคนในช่วงเวลา 3 เดือนที่ผ่านมา ปัจจุบันมีสถาบันศึกษาที่หันมาใช้ ZOOM เพิ่มขึ้น 90,000 แห่ง จาก 20 ประเทศทั่วโลก

ปัจจุบันทาง ZOOM ได้ดำเนินการแก้ไขปัญหาดังกล่าวโดยมีข้อมูล Update ดังนี้

1) การส่งข้อมูลผู้ใช้งานให้ Facebook

ปัญหานี้เป็นที่ Facebook SDK ที่พยายามส่งข้อมูลบางส่วนกลับไปที่ Facebook โดย ZOOM ได้ดำเนินการปิดช่องโหว่ตรงจุดนี้แล้วเนื่องจาก ZOOM ไม่มีนโยบายหรือประกอบธุรกิจในการขายข้อมูลให้ผู้อื่น และได้มีการ Update App IOS ในวันที่ 27/3/2020

https://blog.zoom.us/wordpress/2020/03/27/zoom-use-of-facebook-sdk-in-ios-client/

2) การไม่ได้เข้ารหัส Encryption แบบ 100%

ZOOM ได้ชี้แจงปัญหาทางจุดนี้ โดยยืนยันว่า ในกรณีใช้ ZOOM Meeting App คุยกับ ZOOM Meeting App โดยไม่ได้มีการบันทึกผ่าน Cloud ข้อมูลภาพ เสียงและการ share หน้าจอของการประชุมทั้งหมดจะถูกเข้ารหัส encryption แบบ 100% โดยไม่ได้มีการถอดรหัสใดๆ ตั้งแต่ต้นทางถึงปลายทาง เนื่องจาก ZOOM ไม่ได้มีนโยบายใดๆ ในการทำเช่นนั้น

ทั้งนี้ ถ้าผู้ใช้งานมีความต้องการที่จะใช้ Recording หรือ Remote Control หรือต้องการใช้ ZOOM ร่วมกับอุปกรณ์ (end-points) อื่นๆ ระบบจะมีการถอดรหัสที่ส่วนกลาง และจะถูกใส่รหัสก่อนส่งข้อมูลออกไปที่ปลายทางเช่นเดียวกับผู้ให้บริการรายอื่นเช่น Cisco Webex หรือ Microsoft Team เช่นเดียวกัน ซึ่งเป็นมาตรฐานเดียวกันหมด

https://blog.zoom.us/wordpress/2020/04/01/facts-around-zoom-encryption-for-meetings-webinars/

 
zoom-servers-new.jpg
 

3) ZOOM มี bugs ที่ทำให้ถูกขโมยรหัสผ่าน Windows

Hacker ได้เข้าไปทดสอบโดย post link UNC (ที่ใช้ในการเข้าถึงที่เก็บข้อมูล shared drive ของ Microsoft windows) เข้าไปในห้อง Chat ในขณะประชุมอยู่ ทันทีที่มีการกด Link ดังกล่าว Hacker จะสามารถลักลอบเอา User name & Password ออกมาได้ (credential) ซึ่งเป็นสื่งที่ Microsoft windows ได้ออกแบบการใช้งานสำหรับ UNC เป็นลักษณะนี้อยู่แล้ว

โดยสรุปในสถานการณ์จริงเราคิดว่า

3.1) มันเป็นไปไม่ได้ที่ Hacker จะเข้ามาประชุมในห้องของเราได้ ถ้าไม่มีใครอนุญาติ

3.2) ถ้ามีการ Hack เกิดขึ้น ก็คงเป็นเพราะหนึ่งในผู้เข้าร่วมประชุมก็คือ Hacker นั้นเองซึ่งก็คงจับผู้กระทำความผิดได้ไม่ยาก

อย่างไรก็ตาม ZOOM ได้แก้ปัญหาตรงจุดนี้และได้ Update app ใหม่ให้แล้ว ในวันที่ 1/4/2020 โดยถ้าเราเข้าไปกด Link UNC นี้จะไม่มีอะไรเกิดขึ้น

https://support.zoom.us/hc/en-us/articles/201361953

 
remote-share.png
 

4) ZOOM ถูกแฮกเกอร์เข้ามาป่วนการประชุม (Zoombombing)

ZOOMBOOM คือกรณีที่ Hacker รู้ Meeting ID เลยสามารถแอบเข้ามาให้ห้องประชุมได้เพื่อป่วนการประชุมโดยไม่ได้รับการอนุญาติ ซึ่งก่อนหน้านี้ทาง ZOOM ไม่เคยเจอปัญหานี้เนื่องจากลูกค้าของ ZOOM ส่วนใหญ่เป็นลูกค้าประเภทองค์กร ซึ่งในแต่ละองค์กรจะมีบุคลากร IT ที่ได้รับการอบรมและศึกษาวิธีใช้ ZOOM ได้อย่างมีประสิทธิภาพและรัดกุม

ภายหลังเมื่อ ZOOM มีผู้ใช้งานเพิ่มขึ้น ก็เริ่มมีการแชร์ Link ที่มี Meeting ID ไปช่องทาง online หรือ social ต่างๆ หรือได้มีการ Post screenshot ของภาพการประชุม ขึ้น Web หรือ Social จึงเป็นเหตุให้ hacker สามารถนำ Meeting ID เหล่านั้นมา สร้างความปั่นป่วนได้

ดังนั้นเพื่อไม่ให้ Hacker สามารถเข้ามาป่วนห้องประชุม ZOOM ถึงได้แนะนำให้ผู้ใช้งานศึกษาวิธีป้องกันคนนอกบุกรุกเข้ามาในห้องประชุมได้ตาม Guide ข้างล่างนี้ หรือสามารถ Request บริษัทวันทูออลของเราในการให้ Training ในหัวข้อเรื่องนี้ได้

https://blog.zoom.us/wordpress/2020/03/20/keep-uninvited-guests-out-of-your-zoom-event/

ในขณะเดียวกัน ZOOM เองก็ได้มี Update ออกมาใหม่ในการบังคับให้ลูกค้าที่ใช้ ZOOM Meeting version FREE หรือ pro ที่ 1 License ต้องใส่ password หลังจากใส่ Meeting ID โดยไม่สามารถปิด Function นี้ได้ เพื่อป้องกันไม่ให้ Hacker ที่รู้ Meeting ID สามารถ hack เข้าห้องประชุมได้

 
allthings.how-how-to-find-zoom-meeting-password-zoom-meeting-password.png
 

นอกจากนี้ เพื่อไม่ให้ Hacker ใช้ AI or Bot ในการ Scan หา Meeting ID จากรูป screenshot ที่มีการ post ขึ้นไปบน web ZOOM ได้ Update software ตัวใหม่ (8/4/2020) โดยการซ่อน Meeting ID เพื่อไม่ให้ Meeting ID หลุดออกไปอยู่ในมือของ hacker ได้

 
Screen Shot 2563-04-09 at 19.23.55.png
 

ในวันที 8/4/2020 ZOOM เองก็มี Update อีกครั้งโดยมีการ เพิ่ม Icon มาใหม่ที่ชื่อว่า Security โดยรวมรวมเอา Function การจัดการด้านความปลอดภัยมาอยู่ที่เดียวกันเพื่อให้ง่ายต่อการควบคุม ทำให้ห้องเรียนหรือการรประชุมมีความปลอดภัยมากขึ้น

https://blog.zoom.us/wordpress/2020/04/08/zoom-product-updates-new-security-toolbar-icon-for-hosts-meeting-id-hidden/

 
Screen Shot 2563-04-09 at 19.25.59.png
 

5) ข้อมูลการประชุมไหลเข้าไปผ่าน Data Center ที่ประเทศจีน

เนื่องจาก ZOOM เป็นบริการบน Cloud ที่มี infrastructure ในรูปแบบ geo-redundency ที่ผ่าน data center หลายแห่งทั่วโลกเพื่อรองรับภัยพิบัติหรือการขยาย ในกรณีที่ Data Center ที่หนึ่งมีปัญหา ระบบจะมีการเปลี่ยนให้ไปใช้บริการจาก Data Center อีกที่หนึ่งโดยอัตโนมัติ โดยระบบจะเลือก Data center ที่อยู่ใกล้ที่สุดตามที่ ZOOM ได้กำหนดไว้ (Geo Fencing) ส่วนในกรณีของ Data Center ในประเทศจีน นั้นทาง ZOOM แจ้งว่าปกติจะไม่มีการตั้งให้มีข้อมูลสามารถเข้าหรือออกจากประเทศจีนได้เพราะที่ผ่านมายังไม่เคยเกิดปัญหาดังกล่าว จนล่าสุดที่ได้มีการขยาย Server ออกไปอีกจำนวนมากจึงทำให้เกิดความผิดพลาด ทันทีที่ได้รับปัญหานี้ ZOOM ก็ได้แก้ไขตั้งแต่วันที่ 2/4/2020

https://blog.zoom.us/wordpress/2020/04/03/response-to-research-from-university-of-torontos-citizen-lab/

6) ZOOM ประกาศลั่น Update นโยบายความเป็นส่วนตัว (privacy data) ให้ชัดเจนมากขึ้น

ZOOM ได้มีการเข้าไปเรียบเรียงข้อมูลที่เกี่ยวกับนโยบายการรักษาความรับและความเป็นส่วนตัวของข้อมูลลูกค้า เพื่อให้เกิดความชัดเจนมากขึ้นโดยไม่ได้เปลี่ยนแปลง Content หรือเนื้อหาใดๆ โดยมีใจความสำคัญดังนี้

6.1) ZOOM ไม่ขายข้อมูลของลูกค้า (user’s data)

6.2) ZOOM ไม่เคยขายข้อมูลของลูกค้าตั้งแต่ในอดีตจนถึงปัจจุบันและไม่มีนโยบายที่จะทำในอนาคต

6.3) ZOOM ไม่มีการตรวจสอบหรือ Monitor ข้อมูลการประชุมของลูกค้า

6.4) ZOOM ได้รับการรับรองจากกฏหมายด้านความเป็นส่วนตัว จาก GDPA และ CCPA

https://blog.zoom.us/wordpress/2020/03/29/zoom-privacy-policy/

vasavas nonsopa