VISS
Im Januar 2023 verpflichtete sich das Bug-Bounty-Team, einen innovativen neuen Mechanismus zu entwickeln, zu verfeinern und zu veröffentlichen, mit dem die tatsächlichen Auswirkungen der Ausnutzung einer Schwachstelle auf ein System gemessen werden sollen. Die im März erfolgte Implementierung des Vulnerability Impact Scoring System (VISS) war das Ergebnis dieser gemeinsamen Anstrengung, die wir auf Github als Open-Source-Projekt gestartet hatten.
Zoom nutzt VISS seit über einem Jahr und hat ein wachsendes Interesse von anderen Bug-Bounty-Teams festgestellt, die nach einer objektiveren Methode zur Messung der Auswirkungen von Schwachstellen suchen. Bisher waren die Zusammenarbeit und das Feedback zu VISS positiv. Auch Sicherheitsforscher geben Feedback, was die Zusammenarbeit und Fokussierung von VISS sowie den transparenten Ansatz zum Bug-Bounty-Management von Zoom verbessert.
„Mit VISS können wir die Arbeit der Sicherheitsforscher so anpassen, dass wir uns auf die Bereiche konzentrieren, die am wichtigsten sind und die größten Auswirkungen haben. Entsprechend werden unsere Vergütungen ausgerichtet“, erklärt Michael Adams, Zoom CISO. „Ich möchte nicht nur entsprechend belohnen, sondern auch entsprechende Anreize schaffen. Wenn das Bewertungssystem nicht eindeutig ist, ist es für die Mitarbeiter schwer zu verstehen. Wir sind jetzt in der Lage, ein gewisses Maß an Klarheit zu bieten“, sagt Adams.
Um mehr zu erfahren und die Implementierung des VISS-Rechners durch Zoom auszuprobieren, sehen Sie sich die vollständige VISS-Spezifikationen an.
HackerOne
Wir waren auch begeistert, Sponsor der diesjährigen Veranstaltung HackerOne H1-4420 zu sein, die am 22. Juni 2023 bei CodeNode in London stattgefunden hat. Diese Veranstaltung bot uns eine einmalige Gelegenheit, mit über 90 der talentiertesten ethischen Hacker aus 41 Ländern zusammenzuarbeiten. Alle haben gemeinsam dazu beigetragen, die Sicherheit der Zoom-Plattform zu verbessern. Durch den aktiven Austausch mit dieser Community können wir nicht nur Risiken minimieren, sondern auch Innovationen fördern und unsere Dienste kontinuierlich verbessern. Hier finden Sie eine Zusammenfassung der Veranstaltung.
Bug-Bounty-Auszeichnungen
2023 war ein großes Jahr für uns: So wurden Bug-Bounty-Zahlungen in Höhe von über 2,4 Mio. USD für über 1.000 gültige Berichte von mehr als 200 verschiedenen Sicherheitsforschern getätigt. Dadurch beliefen sich die kumulierten Bug-Bounty-Auszeichnungen auf über 10 Mio. USD.