会议软件Zoom偷偷向脸书发送用户数据被告 相关SDK已移除

美国日益严峻的新冠肺炎疫情让远程办公行业成为风口。

在视频会议软件Zoom借助疫情的“东风”一炮而红的当口，却被曝出未告知用户便向Facebook发送用户数据，还会泄露姓名、头像和邮箱地址给陌生人。

3月28日，Zoom发布更新，改进了相关功能，第二天又发布了新版隐私政策，与第三方广告商共享数据的条款得到细化。经科技媒体《Motherboard》验证，最新版App不再在开启时向Facebook发送数据。

...1...

Zoom向Facebook发送用户设备信息

最新数据显示，美国累计确诊人数直逼20万。据南都记者不完全统计，目前已有至少14个州和23个自治市下令要求居民待在家中，另有至少三个州和11个自治市的命令即将生效，涉及美国超过一半人口。

疫情之下，远程办公、上学成了刚需，Zoom站上了风口。

从1月底至今，Zoom的市值实现翻番。3月30日数据显示，占有最大市场份额的Zoom在美国的日活用户数达到创纪录的484万，是第二名的三倍。

3月26日，《Motherboard》刊文指出，在iOS系统下载或打开Zoom App时，App内嵌的Facebook SDK（软件开发工具包）会向Facebook传送用户的手机型号、时区、城市、运营商以及广告唯一标识符等信息。

这不仅仅发生在用户使用Facebook账号登录Zoom的时候，也发生在压根儿没有Facebook账号的用户身上——他们的信息也被发送给了Facebook。

事实上，Facebook就旗下SDK 可能收集用户数据一事做出了清晰地说明：“包括Facebook在内的第三方可能从你和其他App上收集或获取信息，并用于提供评估服务和定向广告。”

由于用户对SDK难以感知，Zoom有义务在隐私政策中明确告知SDK的存在。Facebook也严格规定：“如果你使用我们的SDK，就代表你保证就用户数据收集、共享和使用向用户提供了足够有力且明确的告知。”

然而，Zoom的隐私政策里仅提到：“我们的第三方服务提供商和广告合作商（比如谷歌广告和谷歌分析）会自动收集你在使用我们产品时的一些信息”，但只字未提Facebook，以及具体会涉及哪些信息。

...2...

Zoom：已移除Facebook SDK

次日，Zoom CEO Eric Yuan发表了回应。

他解释，一直到3月25日，他们才发现Facebook SDK收集了不必要的设备信息，但这些信息不包括参会者的姓名和笔记等，而是诸如广告唯一标识符、IP地址、磁盘空间等设备相关信息。

“我们决定从iOS客户端移除Facebook SDK，并修改了相关功能，现在用户仍然可以使用Facebook账号从浏览器登录Zoom。”他表示，用户已经可以下载最新版Zoom。

“我们真诚地为此次事件引发的关注道歉，也将持续致力于保护用户隐私”，Yuan说，“我们正在审查流程和协议，以便将来实现这些功能时，类似事件不会再次发生。”

29日，Zoom进一步修改了隐私政策，称从未出于广告目的向第三方提供有关Zoom用户活动的任何数据（包括视频、音频和聊天内容），用户可点击网站底部的Cookie选项修改。

“最重要的是，Zoom不会挖掘用户数据或向任何人出售任何用户数据。”Zoom在公告里写道。

...3...

加州居民告Zoom违反消费者隐私法案

尽管Zoom信誓旦旦不会侵犯用户隐私，但基于此前未明确告知用户就允许第三方SDK收集用户数据的行为，美国加利福尼亚州居民Rober Cullen还是对它提起了诉讼。

“广告唯一标识符允许公司向用户精准推送广告……这些信息被Zoom发送给了Facebook，无论用户有没有Facebook账号。”诉状称，如果Zoom事先告知其没有足够的安全能力，并允许第三方获取用户的个人信息，“我们不会使用它”。

因此，Cullen认为，Zoom违反了《加州反不正当竞争法》《消费者法律救济法》。此外，还因收集消费者个人信息前未充分告知、未经授权披露消费者个人信息，违反了《加州消费者隐私法案》的相关条款。

诉状还提到，Zoom通过共享用户数据获利，但并未披露具体金额。

南都记者了解到，纽约州总检察长Letitia James已要求Zoom提供将如何保护用户数据的细节说明。她在信中表示，她“担心Zoom现有的安全措施可能不足以适应最近激增的网络传输量和敏感数据。”

“尽管Zoom修复了特定的安全漏洞，但我们仍想了解Zoom是否对其安全实践进行了更广泛的审查。”James说。对此，Zoom发言人回应称，将按照James的要求提供相关信息。

...4...

新漏洞会泄露用户姓名照片邮箱

3月31日，Zoom的另一个功能设置漏洞被《Motherboard》的同一个作者发现。

Zoom的“公司目录”下会展示使用同一邮箱域名的同事姓名、头像和邮箱，由系统自动判断，省掉了一个个添加同事的麻烦。但也带来了一个隐患：如果用户用私人邮箱注册，可能会看到同样使用该邮箱域名的陌生人。

“如果你用一个非标准服务商的邮箱（Gmail、Hotmail或雅虎等常用域名之外的域名）订阅Zoom，你可以看到所有使用那个小众域名的用户……你还可以给他们打视频电话。”Zoom用户Barend Gehrels说。

对此，Zoom发言人表示，Zoom 有一个域名表，会定期主动标识要添加的域名。Gehrels 反映的域名刚好不在此列，不过目前已经添加。他还提到，用户可以在“公司目录”功能中要求移除特定域名。

据悉，此前Zoom在个人隐私保护方面就遭受过不少质疑。

去年七月，一个安全研究员披露了Zoom的一个漏洞，任意网站都可以在不申请授权的情况下触发苹果电脑的摄像头。今年一月，又有安全公司发现Zoom存在被黑客监听通话的漏洞。

最近，电子前沿基金会指出，会议组织者可以看到参会者的Zoom窗口是否打开，也就是说，他们可以监控人们是否在专心开会。此外，管理员还能看到每个参会者的IP地址、位置信息和设备信息。

截至发稿，Zoom暂未作出回应。

综合、编译：南都记者蒋琳