美國日益嚴峻的新冠肺炎疫情讓遠程辦公行業(yè)成為風口。

在視頻會議軟件Zoom借助疫情的“東風”一炮而紅的當口，卻被曝出未告知用戶便向Facebook發(fā)送用戶數(shù)據(jù)，還會泄露姓名、頭像和郵箱地址給陌生人。

3月28日，Zoom發(fā)布更新，改進了相關(guān)功能，第二天又發(fā)布了新版隱私政策，與第三方廣告商共享數(shù)據(jù)的條款得到細化。經(jīng)科技媒體《Motherboard》驗證，最新版App不再在開啟時向Facebook發(fā)送數(shù)據(jù)。

Zoom向Facebook發(fā)送用戶設(shè)備信息

最新數(shù)據(jù)顯示，美國累計確診人數(shù)直逼20萬。據(jù)南都記者不完全統(tǒng)計，目前已有至少14個州和23個自治市下令要求居民待在家中，另有至少三個州和11個自治市的命令即將生效，涉及美國超過一半人口。

疫情之下，遠程辦公、上學成了剛需，Zoom站上了風口。

從1月底至今，Zoom的市值實現(xiàn)翻番。3月30日數(shù)據(jù)顯示，占有最大市場份額的Zoom在美國的日活用戶數(shù)達到創(chuàng)紀錄的484萬，是第二名的三倍。

3月26日，《Motherboard》刊文指出，在iOS系統(tǒng)下載或打開Zoom App時，App內(nèi)嵌的Facebook SDK（軟件開發(fā)工具包）會向Facebook傳送用戶的手機型號、時區(qū)、城市、運營商以及廣告唯一標識符等信息。

這不僅僅發(fā)生在用戶使用Facebook賬號登錄Zoom的時候，也發(fā)生在壓根兒沒有Facebook賬號的用戶身上——他們的信息也被發(fā)送給了Facebook。

事實上，F(xiàn)acebook就旗下SDK 可能收集用戶數(shù)據(jù)一事做出了清晰地說明：“包括Facebook在內(nèi)的第三方可能從你和其他App上收集或獲取信息，并用于提供評估服務(wù)和定向廣告。”

由于用戶對SDK難以感知，Zoom有義務(wù)在隱私政策中明確告知SDK的存在。Facebook也嚴格規(guī)定：“如果你使用我們的SDK，就代表你保證就用戶數(shù)據(jù)收集、共享和使用向用戶提供了足夠有力且明確的告知。”

然而，Zoom的隱私政策里僅提到：“我們的第三方服務(wù)提供商和廣告合作商（比如谷歌廣告和谷歌分析）會自動收集你在使用我們產(chǎn)品時的一些信息”，但只字未提Facebook，以及具體會涉及哪些信息。

Zoom：已移除Facebook SDK

次日，Zoom CEO Eric Yuan發(fā)表了回應(yīng)。

他解釋，一直到3月25日，他們才發(fā)現(xiàn)Facebook SDK收集了不必要的設(shè)備信息，但這些信息不包括參會者的姓名和筆記等，而是諸如廣告唯一標識符、IP地址、磁盤空間等設(shè)備相關(guān)信息。

“我們決定從iOS客戶端移除Facebook SDK，并修改了相關(guān)功能，現(xiàn)在用戶仍然可以使用Facebook賬號從瀏覽器登錄Zoom。”他表示，用戶已經(jīng)可以下載最新版Zoom。

“我們真誠地為此次事件引發(fā)的關(guān)注道歉，也將持續(xù)致力于保護用戶隱私”，Yuan說，“我們正在審查流程和協(xié)議，以便將來實現(xiàn)這些功能時，類似事件不會再次發(fā)生。”

29日，Zoom進一步修改了隱私政策，稱從未出于廣告目的向第三方提供有關(guān)Zoom用戶活動的任何數(shù)據(jù)（包括視頻、音頻和聊天內(nèi)容），用戶可點擊網(wǎng)站底部的Cookie選項修改。

“最重要的是，Zoom不會挖掘用戶數(shù)據(jù)或向任何人出售任何用戶數(shù)據(jù)。”Zoom在公告里寫道。

加州居民告Zoom違反消費者隱私法案

盡管Zoom信誓旦旦不會侵犯用戶隱私，但基于此前未明確告知用戶就允許第三方SDK收集用戶數(shù)據(jù)的行為，美國加利福尼亞州居民Rober Cullen還是對它提起了訴訟。

“廣告唯一標識符允許公司向用戶精準推送廣告……這些信息被Zoom發(fā)送給了Facebook，無論用戶有沒有Facebook賬號。”訴狀稱，如果Zoom事先告知其沒有足夠的安全能力，并允許第三方獲取用戶的個人信息，“我們不會使用它”。

因此，Cullen認為，Zoom違反了《加州反不正當競爭法》《消費者法律救濟法》。此外，還因收集消費者個人信息前未充分告知、未經(jīng)授權(quán)披露消費者個人信息，違反了《加州消費者隱私法案》的相關(guān)條款。

訴狀還提到，Zoom通過共享用戶數(shù)據(jù)獲利，但并未披露具體金額。

南都記者了解到，紐約州總檢察長Letitia James已要求Zoom提供將如何保護用戶數(shù)據(jù)的細節(jié)說明。她在信中表示，她“擔心Zoom現(xiàn)有的安全措施可能不足以適應(yīng)最近激增的網(wǎng)絡(luò)傳輸量和敏感數(shù)據(jù)。”

“盡管Zoom修復(fù)了特定的安全漏洞，但我們?nèi)韵肓私鈀oom是否對其安全實踐進行了更廣泛的審查。”James說。對此，Zoom發(fā)言人回應(yīng)稱，將按照James的要求提供相關(guān)信息。

新漏洞會泄露用戶姓名照片郵箱

3月31日，Zoom的另一個功能設(shè)置漏洞被《Motherboard》的同一個作者發(fā)現(xiàn)。

Zoom的“公司目錄”下會展示使用同一郵箱域名的同事姓名、頭像和郵箱，由系統(tǒng)自動判斷，省掉了一個個添加同事的麻煩。但也帶來了一個隱患：如果用戶用私人郵箱注冊，可能會看到同樣使用該郵箱域名的陌生人。

“如果你用一個非標準服務(wù)商的郵箱（Gmail、Hotmail或雅虎等常用域名之外的域名）訂閱Zoom，你可以看到所有使用那個小眾域名的用戶……你還可以給他們打視頻電話。”Zoom用戶Barend Gehrels說。

對此，Zoom發(fā)言人表示，Zoom 有一個域名表，會定期主動標識要添加的域名。Gehrels 反映的域名剛好不在此列，不過目前已經(jīng)添加。他還提到，用戶可以在“公司目錄”功能中要求移除特定域名。

據(jù)悉，此前Zoom在個人隱私保護方面就遭受過不少質(zhì)疑。

去年七月，一個安全研究員披露了Zoom的一個漏洞，任意網(wǎng)站都可以在不申請授權(quán)的情況下觸發(fā)蘋果電腦的攝像頭。今年一月，又有安全公司發(fā)現(xiàn)Zoom存在被黑客監(jiān)聽通話的漏洞。

最近，電子前沿基金會指出，會議組織者可以看到參會者的Zoom窗口是否打開，也就是說，他們可以監(jiān)控人們是否在專心開會。此外，管理員還能看到每個參會者的IP地址、位置信息和設(shè)備信息。

截至發(fā)稿，Zoom暫未作出回應(yīng)。