美國日益嚴峻的新冠肺炎疫情讓遠程辦公行業成為風口。

在視頻會議軟件Zoom借助疫情的“東風”一炮而紅的當口，卻被曝出未告知用戶便向Facebook發送用戶數據，還會泄露姓名、頭像和郵箱地址給陌生人。

3月28日，Zoom發布更新，改進了相關功能，第二天又發布了新版隱私政策，與第三方廣告商共享數據的條款得到細化。經科技媒體《Motherboard》驗證，最新版App不再在開啟時向Facebook發送數據。

Zoom向Facebook發送用戶設備信息

最新數據顯示，美國累計確診人數直逼20萬。據南都記者不完全統計，目前已有至少14個州和23個自治市下令要求居民待在家中，另有至少三個州和11個自治市的命令即將生效，涉及美國超過一半人口。

疫情之下，遠程辦公、上學成了剛需，Zoom站上了風口。

從1月底至今，Zoom的市值實現翻番。3月30日數據顯示，占有最大市場份額的Zoom在美國的日活用戶數達到創紀錄的484萬，是第二名的三倍。

3月26日，《Motherboard》刊文指出，在iOS系統下載或打開Zoom App時，App內嵌的Facebook SDK（軟件開發工具包）會向Facebook傳送用戶的手機型號、時區、城市、運營商以及廣告唯一標識符等信息。

這不僅僅發生在用戶使用Facebook賬號登錄Zoom的時候，也發生在壓根兒沒有Facebook賬號的用戶身上——他們的信息也被發送給了Facebook。

事實上，Facebook就旗下SDK 可能收集用戶數據一事做出了清晰地說明：“包括Facebook在內的第三方可能從你和其他App上收集或獲取信息，并用于提供評估服務和定向廣告。”

由于用戶對SDK難以感知，Zoom有義務在隱私政策中明確告知SDK的存在。Facebook也嚴格規定：“如果你使用我們的SDK，就代表你保證就用戶數據收集、共享和使用向用戶提供了足夠有力且明確的告知。”

然而，Zoom的隱私政策里僅提到：“我們的第三方服務提供商和廣告合作商（比如谷歌廣告和谷歌分析）會自動收集你在使用我們產品時的一些信息”，但只字未提Facebook，以及具體會涉及哪些信息。

Zoom：已移除Facebook SDK

次日，Zoom CEO Eric Yuan發表了回應。

他解釋，一直到3月25日，他們才發現Facebook SDK收集了不必要的設備信息，但這些信息不包括參會者的姓名和筆記等，而是諸如廣告唯一標識符、IP地址、磁盤空間等設備相關信息。

“我們決定從iOS客戶端移除Facebook SDK，并修改了相關功能，現在用戶仍然可以使用Facebook賬號從瀏覽器登錄Zoom。”他表示，用戶已經可以下載最新版Zoom。

“我們真誠地為此次事件引發的關注道歉，也將持續致力于保護用戶隱私”，Yuan說，“我們正在審查流程和協議，以便將來實現這些功能時，類似事件不會再次發生。”

29日，Zoom進一步修改了隱私政策，稱從未出于廣告目的向第三方提供有關Zoom用戶活動的任何數據（包括視頻、音頻和聊天內容），用戶可點擊網站底部的Cookie選項修改。

“最重要的是，Zoom不會挖掘用戶數據或向任何人出售任何用戶數據。”Zoom在公告里寫道。

加州居民告Zoom違反消費者隱私法案

盡管Zoom信誓旦旦不會侵犯用戶隱私，但基于此前未明確告知用戶就允許第三方SDK收集用戶數據的行為，美國加利福尼亞州居民Rober Cullen還是對它提起了訴訟。

“廣告唯一標識符允許公司向用戶精準推送廣告……這些信息被Zoom發送給了Facebook，無論用戶有沒有Facebook賬號。”訴狀稱，如果Zoom事先告知其沒有足夠的安全能力，并允許第三方獲取用戶的個人信息，“我們不會使用它”。

因此，Cullen認為，Zoom違反了《加州反不正當競爭法》《消費者法律救濟法》。此外，還因收集消費者個人信息前未充分告知、未經授權披露消費者個人信息，違反了《加州消費者隱私法案》的相關條款。

訴狀還提到，Zoom通過共享用戶數據獲利，但并未披露具體金額。

南都記者了解到，紐約州總檢察長Letitia James已要求Zoom提供將如何保護用戶數據的細節說明。她在信中表示，她“擔心Zoom現有的安全措施可能不足以適應最近激增的網絡傳輸量和敏感數據。”

“盡管Zoom修復了特定的安全漏洞，但我們仍想了解Zoom是否對其安全實踐進行了更廣泛的審查。”James說。對此，Zoom發言人回應稱，將按照James的要求提供相關信息。

新漏洞會泄露用戶姓名照片郵箱

3月31日，Zoom的另一個功能設置漏洞被《Motherboard》的同一個作者發現。

Zoom的“公司目錄”下會展示使用同一郵箱域名的同事姓名、頭像和郵箱，由系統自動判斷，省掉了一個個添加同事的麻煩。但也帶來了一個隱患：如果用戶用私人郵箱注冊，可能會看到同樣使用該郵箱域名的陌生人。

“如果你用一個非標準服務商的郵箱（Gmail、Hotmail或雅虎等常用域名之外的域名）訂閱Zoom，你可以看到所有使用那個小眾域名的用戶……你還可以給他們打視頻電話。”Zoom用戶Barend Gehrels說。

對此，Zoom發言人表示，Zoom 有一個域名表，會定期主動標識要添加的域名。Gehrels 反映的域名剛好不在此列，不過目前已經添加。他還提到，用戶可以在“公司目錄”功能中要求移除特定域名。

據悉，此前Zoom在個人隱私保護方面就遭受過不少質疑。

去年七月，一個安全研究員披露了Zoom的一個漏洞，任意網站都可以在不申請授權的情況下觸發蘋果電腦的攝像頭。今年一月，又有安全公司發現Zoom存在被黑客監聽通話的漏洞。

最近，電子前沿基金會指出，會議組織者可以看到參會者的Zoom窗口是否打開，也就是說，他們可以監控人們是否在專心開會。此外，管理員還能看到每個參會者的IP地址、位置信息和設備信息。

截至發稿，Zoom暫未作出回應。