แม้จะมีความพยายามอย่างดีที่สุดขององค์กรในการผลิตบริการที่ทำงานได้อย่างไร้ที่ติและมีความปลอดภัยข้อบกพร่องของซอฟต์แวร์สามารถเกิดขึ้นได้และบางคนก็จริงจังกว่าคนอื่น ๆ.


บางครั้งข้อผิดพลาดเหล่านี้สามารถตรวจจับได้แม้กระทั่งทีมรักษาความปลอดภัยที่มีประสบการณ์มากที่สุดซึ่งอาจส่งผลให้เกิดผลิตภัณฑ์ที่ลดความปลอดภัยของผู้ใช้ดิจิทัลและทำให้พวกเขาต้องเผชิญกับการโจมตีทางไซเบอร์ บริษัท จำนวนมากตั้งค่าโปรแกรมให้รางวัลนักบวชเพื่อขอความช่วยเหลือนักวิจัยด้านความปลอดภัยทางไซเบอร์เพื่อช่วยพวกเขาค้นหาช่องโหว่ที่อาจแฝงตัวอยู่ในระบบของพวกเขา.

โดยพื้นฐานแล้วนักวิจัยแฮ็ก (จริยธรรม) ในระบบของผู้ขายเพื่อพยายามใช้ประโยชน์จากช่องโหว่ที่อาจมีอยู่ หากนักวิจัยค้นพบช่องโหว่ที่มีความเสี่ยงอย่างมีนัยสำคัญเพียงพอผู้วิจัยสามารถรวบรวมรางวัลบั๊กมูลค่าหลายร้อยดอลลาร์หรือแม้กระทั่งหลายแสนดอลลาร์ขึ้นอยู่กับความรุนแรงของข้อบกพร่องที่ค้นพบ นักล่าเงินรางวัล Bug มักทำหน้าที่เป็นวีรบุรุษที่ไม่ได้รับความปลอดภัยในโลกไซเบอร์ทำให้องค์กรต้องรับผิดชอบต่อความปลอดภัยของผู้บริโภคในระบบดิจิตอล.

แม้ว่าจะเกิดอะไรขึ้นเมื่อองค์กรไม่เห็นด้วยกับนักวิจัยด้านความมั่นคงปลอดภัยทางไซเบอร์เกี่ยวกับความรุนแรงของช่องโหว่ที่นักวิจัยเปิดเผย จะเกิดอะไรขึ้นเมื่อองค์กรพยายามหลีกเลี่ยงความรับผิดชอบโดยการห้ามไม่ให้ผู้วิจัยเปิดเผยต่อสิ่งที่ค้นพบของเขาหรือเธอหรือตกลงที่จะจ่ายค่าตอบแทนบั๊กตามเงื่อนไขที่ผู้วิจัยยังคงเปิดเผยต่อสาธารณชนเกี่ยวกับช่องโหว่ เมื่อสิ่งนี้เกิดขึ้นการรักษาความปลอดภัยแบบดิจิทัลและความเป็นส่วนตัวของผู้บริโภคอาจได้รับอันตรายอย่างร้ายแรง.

โปรแกรมความบันเทิงแบบ Bug มีความสำคัญต่อการรักษาระบบที่ใช้งานซอฟต์แวร์และแอพพลิเคชั่นที่ผู้บริโภคใช้งานอย่างปลอดภัยทุกวันและทำงานอย่างถูกต้อง พวกเขากระตุ้นให้นักวิจัยด้านความปลอดภัยในโลกไซเบอร์และแฮ็กเกอร์ที่มีจรรยาบรรณเข้ามาหาช่องโหว่ เหตุผลที่ต้องการให้นักล่าเงินรางวัลเพื่อลงนามในข้อตกลงการไม่เปิดเผยข้อมูล (NDA) ก็เป็นวิธีที่สำคัญและมีประสิทธิภาพในการป้องกันช่องโหว่ร้ายแรงที่อาจเกิดขึ้นจากการเปิดเผยต่อสาธารณะและหาประโยชน์ก่อนที่จะทำการแก้ไข.

ที่กล่าวว่าบทบัญญัติของ NDA ที่ป้องกันไม่ให้นักวิจัยเปิดเผยต่อสาธารณชนอย่างเปิดเผยถึงช่องโหว่ที่อาจก่อให้เกิดแรงจูงใจเพียงเล็กน้อยสำหรับ บริษัท ที่จะจัดการกับข้อผิดพลาดได้อย่างเหมาะสม.

นักวิจัยด้านความปลอดภัยและนักล่าเงินรางวัลทำหน้าที่เป็นอย่างดีในการดูแล บริษัท ที่รับผิดชอบในการรักษาความปลอดภัยของผู้ใช้ แต่เมื่อ บริษัท ต่างๆมีส่วนร่วมในกลยุทธ์ที่น่าสงสัยของ NDA กับนักวิจัยด้านความปลอดภัยเพื่อให้เกิดความรับผิดชอบนั้นการรักษาความปลอดภัยของผู้ใช้นั้นมีความเสี่ยงอย่างมาก.

ในแง่ของคลื่นล่าสุดของการละเมิดข้อมูลสูงโปรไฟล์และการกำกับดูแลความปลอดภัยที่สำคัญที่เกี่ยวข้องกับบางส่วนของชื่อที่ใหญ่ที่สุดในด้านเทคโนโลยีประชาชนสมควรได้รับความรับผิดชอบมากขึ้นจาก บริษัท ที่พวกเขาไว้วางใจกับข้อมูลของพวกเขา ผู้ร่างกฎหมายทั่วโลกเริ่มทำลายอุตสาหกรรมและร่างกฎหมายที่มีจุดประสงค์เพื่อปกป้องผู้บริโภคในขณะที่ บริษัท เทคโนโลยีต้องรับผิดชอบต่อการจัดการข้อมูลที่มีความละเอียดอ่อน ผู้บริหารระดับสูงในอุตสาหกรรมเช่น Mark Zuckerberg ของ Facebook, Bill Gates ของ Microsoft และ Tim Cook ของ Apple ต่างยอมรับว่าความต้องการการปกป้องข้อมูลส่วนบุคคลของผู้บริโภคที่ดีขึ้นรวมถึงความรับผิดชอบต่อ บริษัท ที่มากขึ้น ในขณะเดียวกันผู้บริโภคก็เริ่มมีความไม่มั่นใจในการจัดการข้อมูลส่วนตัวของ บริษัท มากขึ้น.

เมื่อพิจารณาถึงแนวโน้มนี้การจัดการการซูมของการเปิดเผยความรับผิดชอบของนักวิจัยด้านความมั่นคงปลอดภัยของไซเบอร์เกี่ยวกับช่องโหว่ที่ร้ายแรงหลายอย่างในแอปพลิเคชันการประชุมทางวิดีโอนั้นทำให้งงงวย ในเดือนมีนาคม Jonathan Leitschuh นักวิจัยด้านความปลอดภัยในโลกไซเบอร์ติดต่อ Zoom เพื่อแจ้งให้ บริษัท ทราบถึงช่องโหว่ด้านความปลอดภัยที่สำคัญสามประการที่มีอยู่ภายในแอปพลิเคชันการประชุมทางวิดีโอสำหรับคอมพิวเตอร์ Mac นอกจากข้อผิดพลาดที่อนุญาตให้ผู้โจมตีที่ประสงค์ร้ายเปิดการโจมตีแบบปฏิเสธการให้บริการ (DOS) บนเครื่องของผู้ใช้และข้อผิดพลาดที่เหลือเว็บเซิร์ฟเวอร์ภายในเครื่องที่ติดตั้งบน Mac ของผู้ใช้แม้ว่าจะถอนการติดตั้งแอปพลิเคชัน Zoom แล้ว ช่องโหว่ที่น่าตกใจอย่างมหันต์ที่อนุญาตให้บุคคลที่สามที่เป็นอันตรายประสงค์ร้ายจากระยะไกลและเปิดใช้งานไมโครโฟนและกล้องของผู้ใช้ Mac ที่ไม่สงสัย.

ตามการโพสต์บล็อกของ Leitschuh Zoom อย่างต่อเนื่องวัดผลความรุนแรงของช่องโหว่ในระหว่างการเจรจาอย่างต่อเนื่อง Leitschuh ให้การซูม 90 วันกับหน้าต่างมาตรฐานอุตสาหกรรมเพื่อแก้ไขปัญหาก่อนที่จะดำเนินการเปิดเผยต่อสาธารณะ เขายังให้ Zoom ด้วยสิ่งที่เขาเรียกว่า“ การแก้ไขด่วน” เพื่อแก้ไขช่องโหว่ของกล้องชั่วคราวในขณะที่ บริษัท กำลังดำเนินการแก้ไขปัญหาถาวรอย่างถาวร ในระหว่างการประชุมก่อนกำหนดระยะเวลาเปิดเผยข้อมูลสาธารณะ 90 วัน Zoom นำเสนอ Leitschuh พร้อมข้อเสนอแก้ไข อย่างไรก็ตามผู้วิจัยได้อย่างรวดเร็วเพื่อชี้ให้เห็นว่าวิธีการแก้ปัญหาที่เสนอไม่เพียงพอและสามารถข้ามผ่านวิธีการต่างๆได้อย่างง่ายดาย.

ในตอนท้ายของกำหนดเวลาการเปิดเผยข้อมูลสาธารณะ 90 วัน Zoom ได้ใช้โซลูชัน“ แก้ไขด่วน” ชั่วคราว Leitschuh เขียนไว้ในบล็อกโพสต์ของเขา:

"ท้ายที่สุดการซูมล้มเหลวอย่างรวดเร็วยืนยันว่ามีช่องโหว่ที่รายงานอยู่จริงและพวกเขาล้มเหลวในการแก้ไขปัญหาที่ส่งมอบให้กับลูกค้าในเวลาที่เหมาะสม องค์กรของโปรไฟล์นี้และด้วยฐานผู้ใช้ขนาดใหญ่ดังกล่าวควรเป็นเชิงรุกมากขึ้นในการปกป้องผู้ใช้จากการถูกโจมตี."

ในการตอบสนองครั้งแรกต่อการเปิดเผยข้อมูลสาธารณะในบล็อกของ บริษัท Zoom ปฏิเสธที่จะยอมรับความรุนแรงของช่องโหว่วิดีโอและ“ ท้ายที่สุด ... ตัดสินใจที่จะไม่เปลี่ยนฟังก์ชันการทำงานของแอปพลิเคชัน” แม้ว่า (หลังจากได้รับ backlash สาธารณะ Zoom เห็นด้วยที่จะลบเว็บเซิร์ฟเวอร์ในพื้นที่ซึ่งทำให้เกิดการใช้ประโยชน์ได้อย่างสมบูรณ์การตอบสนองเริ่มต้นของ บริษัท พร้อมกับบัญชีของ Leitschuh ว่า Zoom เลือกที่จะจัดการกับการเปิดเผยข้อมูลที่รับผิดชอบของเขาเผยให้เห็นว่า Zoom ไม่ได้สนใจประเด็นนี้อย่างจริงจัง มัน.

เงียบ

Zoom ได้พยายามซื้อความเงียบของ Leitschuh ในเรื่องนี้โดยอนุญาตให้เขาได้รับประโยชน์จากโปรแกรมการรับบั๊กของ บริษัท เฉพาะเมื่อเขาได้ลงนามใน NDA ที่เข้มงวดมากเกินไป Leitschuh ปฏิเสธข้อเสนอ ซูมยืนยันว่าผู้วิจัยได้รับค่าตอบแทนทางการเงิน แต่ปฏิเสธเนื่องจากข้อตกลงที่ไม่เปิดเผย สิ่งที่ Zoom ไม่สนใจที่จะพูดถึงคือข้อกำหนดเฉพาะที่หมายความว่า Leitschuh จะถูกห้ามไม่ให้เปิดเผยช่องโหว่แม้ว่าจะได้รับการแก้ไขอย่างถูกต้องแล้วก็ตาม สิ่งนี้จะให้แรงจูงใจการซูมเป็นศูนย์เพื่อแก้ไขช่องโหว่ที่ บริษัท ไล่ว่าไม่สำคัญ.

NDA เป็นเรื่องธรรมดาในโปรแกรมบั๊กโปรดปราน แต่การเรียกร้องความเงียบอย่างถาวรจากนักวิจัยนั้นคล้ายกับการจ่ายเงินจำนวนมากและในท้ายที่สุดจะไม่เป็นประโยชน์ต่อผู้วิจัยและไม่เป็นประโยชน์ต่อผู้ใช้หรือสาธารณชนทั่วไป บทบาทของ NDA ควรให้เวลากับ บริษัท ในการแก้ไขและแก้ไขจุดอ่อนก่อนที่จะเปิดเผยต่อสาธารณะและอาจถูกโจมตีจากอาชญากรไซเบอร์ บริษัท มีความคาดหวังที่สมเหตุสมผลว่าจะไม่เปิดเผยข้อมูลในขณะที่ทำงานเพื่อแก้ไขช่องโหว่ แต่ส่วนใหญ่เพื่อประโยชน์ของผู้ใช้ไม่ใช่เพื่อรักษาหน้าศาลในความคิดเห็นสาธารณะเป็นหลัก ในทางกลับกันนักวิจัยมีความคาดหวังที่สมเหตุสมผลสำหรับรางวัลทางการเงินรวมถึงการยอมรับจากสาธารณชนสำหรับความพยายามของพวกเขา ผู้ใช้มีความคาดหวังที่สมเหตุสมผลว่า บริษัท ที่พวกเขาใช้ผลิตภัณฑ์กำลังทำทุกอย่างเท่าที่ทำได้เพื่อรักษาความเป็นส่วนตัวของพวกเขา ในที่สุดประชาชนก็มีสิทธิ์ตามสมควรที่จะรู้ว่ามีจุดอ่อนด้านความปลอดภัยใดบ้างและทำอะไรเพื่อปกป้องผู้บริโภคจากภัยคุกคามทางไซเบอร์และสิ่งที่ผู้บริโภคสามารถทำได้เพื่อปกป้องตนเอง.

ลำดับความสำคัญที่ขัดแย้งกัน

คงจะยากสำหรับ Zoom ที่จะจัดการสถานการณ์นี้แย่กว่าที่เป็นอยู่ บริษัท ให้ความสำคัญกับการสร้างประสบการณ์ของผู้ใช้อย่างไร้รอยต่อจนมองไม่เห็นถึงความสำคัญอย่างยิ่งยวดในการปกป้องความเป็นส่วนตัวของผู้ใช้ “ วิดีโอเป็นศูนย์กลางของประสบการณ์การซูม แพลตฟอร์มวิดีโอครั้งแรกของเราเป็นประโยชน์สำคัญสำหรับผู้ใช้ของเราทั่วโลกและลูกค้าของเราได้บอกเราว่าพวกเขาเลือกซูมสำหรับประสบการณ์การสื่อสารผ่านวิดีโอที่ไม่ต้องใช้แรงเสียดทาน” บริษัท ระบุในการตอบรับ แต่ซูมหันไปติดตั้งเว็บเซิร์ฟเวอร์ท้องถิ่นในพื้นหลังบนคอมพิวเตอร์ Mac ที่มีประสิทธิภาพข้ามคุณสมบัติความปลอดภัยในเว็บเบราเซอร์ Safari เพื่ออำนวยความสะดวกประสบการณ์วิดีโอ "แรงเสียดทาน" นี้สำหรับผู้ใช้ คุณลักษณะความปลอดภัยของ Safari ต้องได้รับการยืนยันจากผู้ใช้ก่อนที่จะเปิดใช้แอปบน Mac วิธีการซูมของสิ่งนี้คือการหลีกเลี่ยงโดยเจตนาและทำให้ความเป็นส่วนตัวของผู้ใช้ตกอยู่ในความเสี่ยงเพื่อช่วยพวกเขาในการคลิกหรือสองครั้ง.

หลังจากฟันเฟืองสาธารณะเท่านั้นที่ บริษัท ได้รับหลังจากการเปิดเผยข้อมูล บริษัท ได้ดำเนินการอย่างมีความหมาย คำตอบเบื้องต้นของ บริษัท ชี้ให้เห็นว่าไม่มีความตั้งใจที่จะเปลี่ยนฟังก์ชั่นการใช้งานของแอพพลิเคชั่นแม้ในช่องโหว่ที่สำคัญที่แอพพลิเคชั่นเก็บ ดูเหมือนว่า บริษัท ยินดีที่จะจัดลำดับความสำคัญประสบการณ์ผู้ใช้มากกว่าความปลอดภัยของผู้ใช้ แม้ว่าประสบการณ์การใช้งานที่ราบรื่นจะเป็นประโยชน์อย่างแน่นอนสำหรับแอปพลิเคชันออนไลน์ใด ๆ แต่แน่นอนว่าไม่ควรมีค่าใช้จ่ายด้านความปลอดภัยและความเป็นส่วนตัว.

สำหรับเครดิตของ บริษัท ผู้ร่วมก่อตั้งและซีอีโอ Eric S. Yuan ยอมรับในภายหลังว่า Zoom จัดการกับสถานการณ์ได้ไม่ดีและมุ่งมั่นที่จะทำสิ่งที่ดียิ่งขึ้นไปข้างหน้า หยวนระบุไว้ในโพสต์บล็อกว่า“ เราตัดสินสถานการณ์ผิดและไม่ตอบสนองเร็วพอ - และนั่นก็เป็นเรื่องที่เกิดขึ้นกับเรา เราเป็นเจ้าของแบบเต็มและเราได้เรียนรู้มากมาย สิ่งที่ฉันสามารถบอกคุณได้คือเราให้ความสำคัญกับความปลอดภัยของผู้ใช้อย่างไม่น่าเชื่อและเรามุ่งมั่นอย่างเต็มที่ที่จะทำสิ่งที่ถูกต้องโดยผู้ใช้ของเรา "เพิ่มเติมด้วยว่า" กระบวนการเพิ่มระดับความปลอดภัยในปัจจุบันของเรา เราได้ดำเนินการตามขั้นตอนเพื่อปรับปรุงกระบวนการรับเพิ่มและปิดการวนซ้ำสำหรับข้อกังวลด้านความปลอดภัยในอนาคตทั้งหมด”

"เราตัดสินสถานการณ์ผิดและไม่ตอบสนองอย่างรวดเร็วเพียงพอและนั่นก็เป็นเรื่องที่เกิดขึ้นกับเรา.

ในท้ายที่สุดความเป็นจริงยังคงอยู่ที่นักวิจัยเห็นด้วยกับเงื่อนไขของ NDA ที่นำเสนอโดย Zoom และถูกห้ามไม่ให้เปิดเผยสิ่งที่เขาค้นพบเราอาจไม่เคยได้ยินอะไรเกี่ยวกับความอ่อนแอ ยิ่งไปกว่านั้น บริษัท อาจไม่เคยแก้ไขปัญหานี้ได้ทำให้ผู้ใช้หลายล้านรายเสี่ยงต่อการบุกรุกความเป็นส่วนตัวอย่างจริงจัง.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me