意見:脆弱性の開示に対するZoomの処理は、バグが多いNDAの暗い側面を浮き彫りにします

組織が完璧に動作し、安全なサービスを作成するための最善の努力にもかかわらず、ソフトウェアのバグは発生する可能性があり、実際に発生します。.

これらのバグは、経験豊富なセキュリティチームでも検出されないことがあり、ユーザーのデジタルセキュリティを侵害し、サイバー攻撃にさらされたままになる可能性があります。多くの企業は、システムで検出されない可能性のある脆弱性を特定できるように、サイバーセキュリティ研究者を登録するためのバグ報奨金プログラムを設定しています.

基本的に、研究者はベンダーのシステムを(倫理的に)ハッキングして、存在する可能性のある脆弱性を悪用しようとします。研究者が十分に重大なリスクをもたらす脆弱性を発見した場合、研究者は発見されたバグの重大度に応じて、数百ドルまたは数十万ドルの価値があるバグ報奨金を集めることができます。バグバウンティハンターは、サイバーセキュリティの名誉のない英雄として行動し、消費者のデジタルセキュリティを確保する責任を組織に与えます.

しかし、組織が研究者によって明らかにされた脆弱性の深刻度に関してサイバーセキュリティ研究者と意見が合わない場合はどうなりますか?組織が研究者が自分の発見を公開することを禁止することによって説明責任を回避しようとする場合、または研究者が脆弱性について公に黙秘しているという条件でのみバグ報奨金を支払うことに同意する場合、どうなりますか?これが発生すると、消費者のデジタルセキュリティと個人のプライバシーが深刻に危険にさらされる可能性があります.

バグバウンティプログラムは、消費者が毎日使用するソフトウェアやアプリケーションを実行するシステムを安全に保ち、適切に機能させるために不可欠です。彼らは、サイバーセキュリティ研究者や倫理的ハッカーにインセンティブを与え、脆弱性を発見します。バグバウンティハンターに秘密保持契約(NDA)への署名を要求することは、パッチが適用される前に潜在的に深刻な脆弱性が公開され、悪用されるのを防ぐための重要かつ効果的な方法でもある.

とはいえ、研究者が脆弱性を公開することを防ぐNDAの規定は、たとえば、企業が障害に適切に対処するインセンティブをほとんど提供せず、ユーザーをさまざまなサイバー脅威にさらす可能性があります.

セキュリティ研究者とバグバウンティハンターは、企業のユーザーの安全を確保する責任を会社に負わせるという素晴らしい仕事をしています。しかし、企業がその説明責任を回避するためにセキュリティ研究者との疑わしいNDA戦術に従事する場合、ユーザーのセキュリティは大きなリスクにさらされる可能性があります.

注目を集めているデータ侵害の最近の波と、テクノロジーの大手企業が関与する主要なセキュリティの監視に照らして、一般の人々は、情報を委託する企業からの説明責任に値します。世界中の議員が業界の取り締まりを開始し、消費者を保護すると同時に、ハイテク企業が機密データを処理する方法について責任を負うことを目的とする法律を起草しています。 FacebookのMark Zuckerberg、MicrosoftのBill Gates、AppleのTim Cookなどの業界幹部は、消費者のプライバシー保護を強化し、企業に対する責任感を高める必要性を認めています。同時に、消費者は企業が個人データを管理する方法にますます不信感を抱いています。.

この傾向を考慮すると、ビデオ会議アプリケーションのいくつかの深刻な脆弱性について、サイバーセキュリティ研究者が責任を持って開示するZoomの処理は不可解です。 3月、サイバーセキュリティ研究者のJonathan LeitschuhはZoomに連絡して、Macコンピューター用のビデオ会議アプリケーションに存在する3つの主要なセキュリティ脆弱性を会社に通知しました。 Leitschuhは、悪意のある攻撃者がユーザーのマシンでサービス拒否(DOS)攻撃を仕掛けることができるバグと、ズームアプリケーションをアンインストールした後でもユーザーのMacにインストールされたローカルWebサーバーを残すバグに加えて、悪意のあるサードパーティエンティティが疑いを持たないMacユーザーのマイクとカメラをリモートで自動的に有効にする重大な警告脆弱性.

Leitschuhのブログ投稿によると、Zoomは進行中の講演中に脆弱性の深刻さを継続的に軽視していた。 Leitschuhは、Zoomに業界標準の90日間の猶予期間を与えました。この期間内で、公開を進める前に問題を解決します。彼はZoomに「クイックフィックス」ソリューションと呼ばれるものを提供し、カメラの脆弱性を一時的に修正し、会社が永続的な修正の展開に取り組みました。 90日間の公開開示期限前の会議で、ZoomはLeitschuhに修正案を提示しました。しかし、研究者は、提案された解決策は不十分であり、さまざまな手段で簡単にバイパスできることをすぐに指摘しました。.

90日間の公開開示期限の終わりに、Zoomは一時的な「クイックフィックス」ソリューションを実装しました。 Leitschuhは彼のブログ投稿で次のように書いています。

"最終的に、Zoomは報告された脆弱性が実際に存在することを迅速に確認することに失敗し、タイムリーに顧客に配信された問題の修正に失敗しました。このプロファイルの組織で、そのような大規模なユーザーベースを持つユーザーは、攻撃からユーザーを保護するために、より積極的にすべきでした。."

会社のブログでの公開に対する最初の応答で、ズームはビデオの脆弱性の深刻さを認めず、「最終的に...アプリケーションの機能を変更しないことを決定しました」。 Zoomは、悪用を可能にしたローカルWebサーバーを完全に削除することに同意しました。Zoomが責任ある開示に対処する方法を選択したLeitschuhのアカウントに加えて、会社の最初の応答は、Zoomが問題を深刻に受け止めず、適切に解決することにほとんど関心がないことを示していますそれ.

静かに

ズームは、彼が過度に厳格なNDAに署名したという条件でのみ、会社のバグ報奨金プログラムの恩恵を受けることができるようにすることで、問題に関するライツの沈黙を買おうとしました。 Leitschuhは申し出を断った。ズームは、研究者に金銭的な報奨金が提供されたと主張したが、「非開示条件」のため拒否した。 Zoomが言及しなかったのは、特定の用語は、Leitschuhが適切にパッチを適用した後でも脆弱性を開示することを禁止されたことを意味するということです。これは、Zoomが会社が取るに足らないものとして却下した脆弱性にパッチを当てるインセンティブを与えなかっただろう.

NDAはバグ報奨金プログラムの一般的な慣行ですが、研究者に永続的な沈黙を要求することは静けさを払うことに似ており、最終的には研究者に利益をもたらさず、ユーザーや一般の人々にも利益をもたらしません。 NDAの役割は、一般に公開され、潜在的にサイバー犯罪者に悪用される前に、脆弱性に対処して修正するための合理的な時間を会社に与えることです。企業は、脆弱性の修正に取り組んでいる間、非公開の合理的な期待を持っていますが、主に世論の法廷で顔を救うためではなく、主にユーザーの利益のためです。一方、研究者は、金銭的な報酬だけでなく、彼らの努力に対する国民の認識にも合理的な期待を抱いています。ユーザーは、使用する製品を所有する企業がプライバシーを保護するためにできる限りのことを行っているという合理的な期待を抱いています。最後に、公衆は、セキュリティの脆弱性が存在し、消費者をサイバー脅威から保護するために何が行われているか、そして消費者が自分自身を保護するためにできることを知る合理的な権利を持っています.

対立する優先事項

Zoomがこの状況に対処するのは、それよりも困難でした。同社はシームレスなユーザーエクスペリエンスの作成に注力していたため、ユーザーのプライバシーを保護することの重要性を見失っていました。 「動画はズームエクスペリエンスの中心です。当社のビデオファーストプラットフォームは、世界中のユーザーにとって重要なメリットであり、お客様は、当社の摩擦のないビデオコミュニケーションエクスペリエンスにズームを選択することを教えてくれました」と同社はその回答で述べています。しかし、ZoomはMacコンピューターのバックグラウンドにローカルWebサーバーをインストールし、Safari Webブラウザーのセキュリティ機能を効果的にバイパスして、ユーザーのこの「摩擦のない」ビデオエクスペリエンスを促進しました。問題のSafariセキュリティ機能では、Macでアプリを起動する前にユーザーの確認が必要でした。これに対するZoomのソリューションは、意図的にそれをバイパスし、ユーザーのプライバシーを危険にさらし、クリックを1、2回保存することでした.

公開後、一般からの反発を受けて初めて、同社は有意義な行動を取りました。同社の最初の対応では、アプリケーションに存在する重大な脆弱性を考慮しても、アプリケーションの機能を変更する意図はないことが示唆されました。同社は、ユーザーセキュリティよりもユーザーエクスペリエンスを優先したいと考えています。スムーズなユーザーエクスペリエンスは、どのオンラインアプリケーションにとっても間違いなく有益ですが、セキュリティとプライバシーを犠牲にしてはなりません。.

同社の功績により、共同設立者兼CEOのEric S. Yuanは、Zoomが状況をうまく処理できず、今後の改善を約束したことを認めました。 Yuanはブログの投稿で、「状況を誤って判断したため、十分に迅速に対応していませんでした。それが私たちの責任です。私たちは完全な所有権を取得し、多くのことを学びました。私たちが言えることは、ユーザーのセキュリティを非常に真剣に考えており、ユーザーの正しい行動に心を込めて取り組んでいるということです」と付け加えました。将来のセキュリティ関連の懸念事項をすべて受け取り、エスカレーションし、ループを閉じるプロセスを改善するための措置を講じました。」

"私たちは状況を誤って判断し、十分に迅速に応答しませんでした-それは私たちにかかっています.

最終的に、研究者がズームによって彼に提示されたNDAの条件に同意し、彼の発見を開示することを禁止されていたという現実は残っていますが、脆弱性について聞いたことはなかったでしょう。さらに悪いことに、この会社はおそらくこの問題を修正することはなかったかもしれず、何百万人ものユーザーが深刻なプライバシー侵害に対して脆弱なままになっていたでしょう。.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me