Das Zoom Prämienprogramm für gefundene Sicherheitslücken (Bug-Bounty-Program): Rückblick auf 2021
Zoom hat über ein privates Bug-Bounty-Programm auf der Plattform HackerOne in ein kompetentes und global aufgestelltes Team aus Sicherheitsforschern investiert.
Die Sicherheit virtueller Kommunikation hat bei Zoom höchste Priorität. Die Vertraulichkeit und Integrität von Nachrichten und Meetings wie auch die Verfügbarkeit und Zuverlässigkeit unserer globalen Infrastruktur stehen für unsere hunderten internen Sicherheitsingenieure im Mittelpunkt.
Um Bedrohungen für unsere Benutzer und Infrastruktur einen Schritt voraus bleiben zu können, ist eine starke Verteidigung entscheidend – deshalb prüfen wir unsere Plattform und Infrastruktur durchgehend, um neue und potenzielle Bedrohungen zu erkennen und Sicherheitslücken zu finden.
Wir nutzen die Kraft der Sicherheitsgemeinde
Bei Zoom testen wir unsere Lösungen und Infrastruktur zwar täglich, doch es ist auch wichtig, diese Tests mit Hilfe der ethischen Hackergemeinde auszuweiten, um auch die kleinsten Schwachstellen zu finden, die nur bei ganz bestimmten Anwendungsfällen und unter spezifischen Umständen erkennbar sind.
Aus diesem Grund hat Zoom über ein privates Bug-Bounty-Programm auf der Plattform HackerOne in ein kompetentes und global aufgestelltes Team aus Sicherheitsforschern investiert. HackerOne ist der branchenführende Anbieter für die Rekrutierung und Einstellung von Fachkräften im Bereich Sicherheit. Die Teilnahme an privaten Bug-Bounty-Programmen erfolgt ausschließlich über Einladung, sodass Unternehmen die Sicherheitsforscher ganz gezielt auf Grundlage früherer Projekte aussuchen können. HackerOne erstellt für jeden Forscher eine Statistik auf Grundlage seines Signal-Rausch-Verhältnisses, der Auswirkungen auf die Programme, zu denen er etwas beigetragen hat, und seines Rufs. Diese Werte unterstützen die Einschätzung, wie relevant und umsetzbar die Funde eines Forschers sein werden.
Zoom hat über die HackerOne-Plattform mehr als 800 Sicherheitsforscher rekrutiert. Gemeinsam haben sie seit Einführung des Programms bereits zahlreiche Bugs gemeldet und eine Reihe von Auszeichnungen erhalten, mit denen Belohnungszahlungen, Waren und Geschenke im Wert von über 2,4 Millionen US-Dollar verbunden waren. Allein im Jahr 2021 zahlte Zoom auf 401 Berichte verteilt Belohnungen in Höhe von mehr als 1,8 Millionen US-Dollar aus. Wir bedanken uns herzlich bei allen, die fleißig Bugs an Zoom gemeldet haben, und ganz besonders bei unseren Top-10-Forschern:
Im letzten Jahr konzentrierte sich unser Vulnerability Management and Bug Bounty(VMBB)-Team darauf, in der hart umkämpften Recruitinglandschaft renommierte Sicherheitsforscher für unser Programm zu gewinnen, indem es ihnen ein erstklassiges Erlebnis bot.
Um Topleute zu gewinnen, haben wir die folgenden fünf Prinzipien eingeführt – sie bilden die Grundlage für unser Programm und sollen zu dessen Verbesserung beitragen:
Klare und prägnante Programmrichtlinien, die erlaubte Testmethoden beschreiben, Details zur „Safe Harbor“-Richtlinie des Programms erläutern und eine Aufstellung der potenziellen Belohnungszahlungsbereiche für bestimmte Schwachstellenberichte enthalten.
Die Angriffsfläche, d. h. der Rahmen des Bug-Bounty-Programms wird konsequent vergrößert und Bereiche, die ausdrücklich außerhalb des Rahmens liegen oder verboten sind, werden klar definiert.
Die für Reaktion, Behebung und Bezahlung benötigte Dauer wird minimiert. Niemand wartet gerne ewig auf eine Antwort oder seine Bezahlung. Das gilt auch für ethische Hacker.
Professionelle Beziehungen und direkte Kommunikation mit Zoom-Mitarbeitern, die das Bug-Bounty-Programm verwalten, eingereichte Berichte selektieren und Belohnungszahlungen bestimmen.
Attraktive Belohnungen, die die investierte Arbeit der Forscher und die Schwere einer gefundenen Schwachstelle genau widerspiegeln.
Die Weiterentwicklung unseres Programms
Zur Unterstützung der Forscher an Bord und um neue zu begeistern, hat Zoom 2021 einige wichtige Updates für das Bug-Bounty-Programm umgesetzt. Dazu gehörten:
Wir sind vom alten statischen Belohnungsmodell, das lediglich auf der Schwere der gemeldeten Schwachstelle basiert, zu einer Belohnungsliste übergegangen. In dieser Liste finden Forscher spezifische Belohnungsbeträge auf Grundlage der Art der gefundenen Schwachstelle und den vorgeführten potenziellen Auswirkungen auf die Benutzer und die Infrastruktur von Zoom. Im Januar 2021 hob Zoom die Obergrenze der Belohnungstabelle auf 50 000 USD für einen einzigen Bericht und die Untergrenze auf 250 USD an.
Wir haben ein öffentliches Programm zur Offenlegung von Schwachstellen (VDP, „Vulnerability Disclosure Program“) eingeführt, in dem jeder Schwachstellen an Zoom berichten konnte, nicht nur etablierte Sicherheitsforscher. So wurde der Zufluss an Berichten optimiert und der schnelle Eingriff durch das richtige Team bei Zoom ermöglicht, sodass Bugs schneller behoben werden können und die Produktsicherheit schneller verbessert wird.
Im Oktober 2021 starteten wir unser VIP-Bug-Bounty-Programm. In diesem Programm konzentrierten wir uns auf lizenzierte Zoom-Lösungen und weiteten den Rahmen der Sicherheitstests aus.
Im Jahr 2021 konzentrierte sich das Zoom VMBB-Team darauf, die Zeiten für die Erstreaktion, Triage, Behebung und Belohnungszahlung zu verkürzen. Unseren aktuellen Zahlen zufolge findet die Erstreaktion durchschnittlich innerhalb von weniger als vier Stunden statt und die Triage eines eingehenden Berichts dauert in der Regel weniger als 48 Stunden. Belohnungszahlungen werden wöchentlich vom Team besprochen und überprüft, sodass sie üblicherweise innerhalb von 14 Tagen nach Einreichung des Berichts erfolgen.
Zur Stärkung der bestehenden Beziehungen zu unseren Forschern hat Zoom mehrere Kennenlerntreffen in Form von Zoom-Meetings veranstaltet und Forscher aus aller Welt eingeladen. Die Community der ethischen Hacker ist unglaublich vielfältig – von Studenten und Professoren über begabte Teenager, die die Welt des Hacking erkunden, bis hin zu erfahrenen Zoom-Benutzern, denen „etwas Merkwürdiges“ aufgefallen ist, ist alles dabei.
Ausblick
2021 haben wir viel gelernt und sind über uns hinausgewachsen. Das wollen wir mit weiteren ethischen Hackern im Jahr 2022 weiterführen und freuen uns bereits sehr auf die gemeinsame Zusammenarbeit. Wenn auch Sie zu mehr Sicherheit auf Zoom beitragen möchten, senden Sie Ihren HackerOne-Profilnamen an bugbounty@zoom.us oder besuchen Sie die Karriereseite von Zoom, um ausgeschriebene Stellen in den Trust-and-Security-Teams zu finden. Viel Spaß beim Hacken!
Besuchen Sie unser Trust Center, um mehr über Datenschutz und Sicherheit bei Zoom zu erfahren.