Jahresrückblick: Was unser Bug-Bounty-Programm 2023 für die Zoom-Sicherheit bedeutet

Sicherheit steht bei Zoom stets im Mittelpunkt und ist eine fortlaufende Investition, der wir uns durch eine Vielzahl von Programmen und Initiativen verpflichtet fühlen. Das Bug-Bounty-Programm von Zoom ist eine solche Initiative zur Verbesserung der Online-Sicherheit und ein Musterbeispiel für die Zusammenarbeit, die Innovation und die kontinuierlichen Fortschritte, die die gesamte Zoom-Community kennzeichnen. Seit 2019 arbeiten wir aktiv mit der Forscher-Community zusammen. Jetzt freuen wir uns, bekannt geben zu dürfen, dass wir mehr als 10 Mio. USD an Bug Bounty-Zahlungen geleistet haben, um die Schutzmaßnahmen von Zoom zu verstärken und die Privatsphäre und Sicherheit unserer Nutzer zu schützen. 

Das Bug-Bounty-Programm von Zoom soll Anreize für die Entdeckung und verantwortungsvolle Offenlegung von Schwachstellen bieten. In den letzten zwei Jahren haben wir ein optimiertes Verfahren eingeführt, um schnellstmögliche Reaktionen auf alle Sicherheitsmeldungen zu gewährleisten. Sobald ein Fehler von einem unserer mehr als 800 Forscher entdeckt und gemeldet wird, sorgt unser Sicherheitsteam dafür, dass der Bericht analysiert, reproduziert und an das zuständige interne Entwicklungsteam zur Behebung weitergeleitet wird – und zwar im Durchschnitt innerhalb weniger Stunden. 

In den letzten mehr als drei Jahren hat Zoom die Kosten pro Bericht für den Programmbetrieb gesenkt und gleichzeitig die Erkennung von Schwachstellen erhöht, was spürbare Verbesserungen für unsere Plattform zur Folge hat. In nur drei Jahren haben wir die Kosten für eine gültige Meldung um 40 % gesenkt und die Zahl der Einreichungen mehr als verdoppelt.

VISS

Im Januar 2023 verpflichtete sich das Bug-Bounty-Team, einen innovativen neuen Mechanismus zu entwickeln, zu verfeinern und zu veröffentlichen, mit dem die tatsächlichen Auswirkungen der Ausnutzung einer Schwachstelle auf ein System gemessen werden sollen. Die im März erfolgte Implementierung des Vulnerability Impact Scoring System (VISS) war das Ergebnis dieser gemeinsamen Anstrengung, die wir auf Github als Open-Source-Projekt gestartet hatten. 

Zoom nutzt VISS seit über einem Jahr und hat ein wachsendes Interesse von anderen Bug-Bounty-Teams festgestellt, die nach einer objektiveren Methode zur Messung der Auswirkungen von Schwachstellen suchen. Bisher waren die Zusammenarbeit und das Feedback zu VISS positiv. Auch Sicherheitsforscher geben Feedback, was die Zusammenarbeit und Fokussierung von VISS sowie den transparenten Ansatz zum Bug-Bounty-Management von Zoom verbessert.

„Mit VISS können wir die Arbeit der Sicherheitsforscher so anpassen, dass wir uns auf die Bereiche konzentrieren, die am wichtigsten sind und die größten Auswirkungen haben. Entsprechend werden unsere Vergütungen ausgerichtet“, erklärt Michael Adams, Zoom CISO. „Ich möchte nicht nur entsprechend belohnen, sondern auch entsprechende Anreize schaffen. Wenn das Bewertungssystem nicht eindeutig ist, ist es für die Mitarbeiter schwer zu verstehen. Wir sind jetzt in der Lage, ein gewisses Maß an Klarheit zu bieten“, sagt Adams.

Um mehr zu erfahren und die Implementierung des VISS-Rechners durch Zoom auszuprobieren, sehen Sie sich die vollständige VISS-Spezifikationen an.

HackerOne

Wir waren auch begeistert, Sponsor der diesjährigen Veranstaltung HackerOne H1-4420 zu sein, die am 22. Juni 2023 bei CodeNode in London stattgefunden hat. Diese Veranstaltung bot uns eine einmalige Gelegenheit, mit über 90 der talentiertesten ethischen Hacker aus 41 Ländern zusammenzuarbeiten. Alle haben gemeinsam dazu beigetragen, die Sicherheit der Zoom-Plattform zu verbessern. Durch den aktiven Austausch mit dieser Community können wir nicht nur Risiken minimieren, sondern auch Innovationen fördern und unsere Dienste kontinuierlich verbessern. Hier finden Sie eine Zusammenfassung der Veranstaltung.

Bug-Bounty-Auszeichnungen

2023 war ein großes Jahr für uns: So wurden Bug-Bounty-Zahlungen in Höhe von über 2,4 Mio. USD für über 1.000 gültige Berichte von mehr als 200 verschiedenen Sicherheitsforschern getätigt. Dadurch beliefen sich die kumulierten Bug-Bounty-Auszeichnungen auf über 10 Mio. USD.

Im Zuge der zunehmenden Einbindung von künstlicher Intelligenz und maschinellem Lernen in Zoom-Produkte hat das Bug-Bounty-Team von Zoom mit vielen unserer besten Forscher zusammengearbeitet, um Schwachstellen zu finden. Der Aufstieg der generativen KI bringt neue Sicherheits- und Datenschutzrisiken mit sich, darunter Fehlinformationen, Data Poisoning und Datenexfiltration. Durch die Nutzung der Kampagnen-Funktion innerhalb unserer VIP-Programme bietet die HackerOne-Plattform die gesamte Backend-Verarbeitungsleistung, die Zoom für eine sinnvolle, wechselseitige Zusammenarbeit mit Forschern benötigt. 

Zusätzlich zu unserem Fokus auf KI haben wir im Rahmen unserer Roadmap 2024 eine Reihe zuverlässiger Funktionen geplant, die dieses Jahr eingeführt werden sollen. In diesem Sinne freuen wir uns auf diverse Berichte im Rahmen unserer Aktion „Spring BREAKAGE“, die am 1. April 2024 begann und den ganzen April über läuft. Dem Testumfang wurden mehrere neue Funktionen hinzugefügt. Außerdem wurden die Prämien für diese Aktion wurden.

Wenn Sie einen Beitrag zur Verbesserung der Sicherheit bei Zoom leisten möchten, senden Sie Ihren HackerOne-Profilnamen per E-Mail an bugbounty@zoom.us oder suchen Sie auf der Zoom-Karriereseite nach offenen Stellen in den Vertrauens- und Sicherheitsteams. Viel Spaß beim Hacken!

Weitere Informationen zu Datenschutz und Sicherheit bei Zoom finden Sie in unserem Trust Center. Sie haben einen Bug gefunden? Melden Sie hier die gefundene Schwachstelle.