जुमको कमजोर सुरक्षाबारे व्यवसायिक साझेदार ड्रपबक्सलाई पनि थाहा थियो

एक वर्षअघि दुई अष्ट्रेलियाली ह्याकर ड्रपबक्सले प्रायोजन गरेको लाइभ ह्याकिङ प्रतिस्पर्धामा सहभागी हुन सिंगापुर उडे।

आठ घण्टाको हवाइ यात्रामा ३० हजार फिटमाथि उनीहरूसँग गर्ने काम केही थिएन। इन्टरनेट पनि ढिलो थियो। दुवैले जुम ह्याक गर्ने निधो गरे। यो भिडियो कन्फरेन्सिङ सेवा ड्रपबक्सका धेरै कर्मचारीले प्रयोग गर्ने गरेको उनीहरूलाई थाहा थियो।

जुमको सफ्टवेयरमा ठूलो कमजोरी भएको पत्ता लगाउन उनीहरूलाई कति पनि लागेन। त्यही कमजोरीको फाइदा उठाएर ह्याकरले प्रयोगकर्ताको म्याक कम्प्युटर गोप्य रूपले नियन्त्रणमा लिइ चलाउन सक्थे। ड्रपबक्सका तीन जना पूर्व इन्जिनियरले बताए अनुसार यही “बग”लाई लिएर ड्रपबक्सका सुरक्षा इन्जिनियर जुमको सुरक्षाबारे चिन्तित थिए।

अहिले जुम सबैको प्रिय बनेको छ। घरैमा बसेर धेरैले यही एपमार्फत् काम गरिरहेका छन्। तर जुमको गोपनियता र सुरक्षासम्बन्धी समस्या भने बढ्दै गएको छ।
सिलिकन भ्याली भेन्चर क्यापिटलिस्ट लगायत ठूला कम्पनी जुमको पक्षमा उभिएका छन्। आलोचनात्मक आक्रमण अनुचित भएको उनीहरूको भनाइ छ। खासमा व्यवसायका लागि बनाइएको जुमले महाव्याधि हुन्छ र केही साताको अवधिमै प्रयोगकर्ताको बाढी आउँछ भनेर अनुमान नगरेको उनीहरूको तर्क छ। प्राथमिक तहको शिक्षण कार्य सञ्चालन र पारिवारिक “सेलिब्रेसन” एपको प्रयोजन कहिले नभएको उनीहरू बताउँछन्।

एलेक्स स्टामोस फेसबुकका पूर्व प्रमुख सुरक्षा अधिकृत हुन्। उनी हालै मात्र जुमको सुरक्षा सल्लाहकार भएका छन्। उनी भन्छन्,“यी धेरै कुरा अनुमान गर्न सकिने थिएन। सबैजनाले पानीमा कार चलाउने निर्णय गरेजस्तै देखिएको छ।” ड्रपबक्सका पूर्व इन्जिनियर जुमले दुई वर्ष वा त्योभन्दा धेरै अघिदेखि समस्या भोगिरहेको बताउँछन्। त्यतिबेला सुरक्षाको उपयुक्त प्रबन्ध नगरेकोले अहिले “बिजनेस क्लाइन्ट” जोखिममा परेको उनीहरू तर्क गर्छन्।

ती पूर्व इन्जिनियरका अनुसार ड्रपबक्सको चिन्ता बढ्यो। “भिडियो कन्फरेन्सिङ सिस्टम” कर्पोरेट सुरक्षाका लागि जोखिम हुनसक्छ भन्ने ठानेर ड्रपबक्स आफैंले जुमको सुरक्षा अभ्यास निगरानी गर्न थाल्यो। यो अस्वाभाविक थियो। कामबारे सार्वजनिक रूपमा बोल्ने अधिकार नभएकोले परिचय नखुलाउने शर्तमा उनीहरूले यस्तो जानकारी दिएका हुन्। 

ड्रपबक्सले सन् २०१८ मा सुरक्षा मुल्याङ्कनसम्बन्धी नयाँ कार्यक्रम सुरू गर्‍यो। जुमलगायत अन्य केही कम्पनीको सफ्टवेयर कोडमा भएका कमीकमजोरी पत्ता लगाउन शीर्ष ह्याकरलाई गोप्य रूपमा पुरस्कार दिन थाल्यो। जुमको कोडमा भएको सुरक्षासम्बन्धी कमजोरीको परिमाण र गम्भीरता देखेर छक्क परेको ड्रपबक्सका पूर्व इन्जिनियर बताउँछन्। त्यसाथि समस्या समाधान गर्न जुमले उत्तिकै ढिलाइ गरिरहेको थियो।

ड्रपबक्सले सिंगापुरको कार्यक्रममा ह्याकरले पत्ता लगाएको समस्या जुम भिडियो कम्युनिकेसन्सलाई जानकारी गराए। कम्पनीलाई बग ठिक पार्न तीन महिनाभन्दा धेरै समय लागेको ती इन्जिनियरले बताए। त्यही मूल कारणले भएको भिन्दै कमजोरीलाई अर्कै ह्याकरले सार्वजनिक गरेपछि मात्रै जुमले समस्या समाधान गर्‍यो।

अघिल्लो महिना एकै दिनमा झण्डै ६ लाख व्यक्तिले जुम डाउनलोड गरे। जुमको आकस्मिक लोकप्रियताले अनुसन्धाता र पत्रकारको ध्यानाकर्षण भएको छ। त्यसैले सुरक्षासम्बन्धी जोखिमका घटनासँग जुझ्न कम्पनी बाध्य भएको हो। तीन साताअघि एफ. बि. आइ. ले जुमबम्बिङ भएको थुप्रै सूचना पाएको चेतावनी दियो। “पोर्नोग्राफी” को प्रदर्शन र धम्की दिनलाई जुममार्फत् सञ्चालन भएका विद्यालयका कक्षाहरू “हाइज्याक” गरिएका थिए।

गएको साता भाइसको मदरबोर्ड ब्लगले “सेक्युरिटी बग ब्रोकर” ले जुमको सुरक्षामा भएको कमजोरीको “एक्सेस” पाँच लाख अमेरिकी डलरमा बिक्री भरहेको जनायो। त्यस्तो “एक्सेस”ले प्रयोगकर्ताको कम्प्युटर कुनै सुदूर स्थानमा बसेर पनि चलाउन सकिन्छ। बेग्लै घटनामा ह्यारकहरूले डार्क वेबमा पाँच लाख जुम प्रयोगकर्ताको युजरनेम र पासवर्ड बिक्रीमा राखे।

प्रतिक्रियामा जुमका कार्यकारी प्रमखु एरिक एस. युआनले आगामी ९० दिनका लागि कम्पनीले सबै इन्जिनियरिङ श्रोतसाधन सुरक्षा र गोपनियतालाई चुस्तदुरूस्त र बलियो बनाउन लगानी गर्ने बताएका छन्। अघिल्लो साता कम्पनीले आफ्नो कोडमा भएको कमजोरी पत्ता लगाउने ह्याकरलाई पुरस्कार दिने नयाँ कार्यक्रम घोषणा गर्‍यो। सुरक्षाको सम्भावित जोखिम र जुमबम्बिङ कम गर्नलाई जुमको डिजाइन पनि परिवर्तन भइरहेको स्टामोसले बताएका छन्। 

जुमले वक्तव्य जारी गरेर अनुसन्धाता र उद्योगका साझेदारलाई धन्यवादज्ञापन गरेको छ। ड्रपबक्सले पनि वक्तव्य जारी गर्दै “भेन्डर बग बाउन्टी” कार्यक्रमको पहिलो सहभागी भएकोमा आभार व्यक्त गरेको छ। आन्तरिक बैठकका लागि जुम नै प्रयोग गरेको ड्रपबक्सले जनाएको छ।

जुमले सन् २०१९ मा आइपिओ जारी गर्नुअघि ड्रपबक्सले ५० लाख अमेरिकी डलर कम्पनीमा लगानी गरेको थियो। ड्रपबक्सका निर्देशक ब्रायन स्क्रायर सिकोया क्यापिटलसँग आबद्ध छन् जसले आइपिओअघि दश करोड अमेरिकी डलर जुममा लगानी गरेको थियो।