Das Zoom Prämienprogramm für gefundene Sicherheitslücken (Bug-Bounty-Program): Rückblick auf 2021

Bei Zoom testen wir unsere Lösungen und Infrastruktur zwar täglich, doch es ist auch wichtig, diese Tests mit der Hilfe der ethischen Hackergemeinde auszuweiten, um auch die kleinsten Schwachstellen zu finden, die nur bei ganz bestimmten Anwendungsfällen und unter spezifischen Umständen erkennbar sind. 

Aus diesem Grund hat Zoom über ein privates Bug-Bounty-Programm auf der Plattform HackerOne in ein kompetentes und global aufgestelltes Team aus Sicherheitsforschern investiert. HackerOne ist der branchenführende Anbieter für die Rekrutierung und Einstellung von Fachkräften im Bereich Sicherheit. Die Teilnahme an privaten Bug-Bounty-Programmen geht ausschließlich über Einladung, sodass Unternehmen die Sicherheitsforscher auf Grundlage früherer Projekte gezielt aussuchen können. HackerOne berechnet für jeden Forscher eine Statistik auf Grundlage deren Signal-Rausch-Verhältnisses, Auswirkungen auf das Programm, zu dem sie etwas beigetragen haben, und dem Ruf. Diese Werte unterstützen die Einschätzung, wie relevant und umsetzbar deren Funde sein werden.  

Zoom hat über die HackerOne-Plattform mehr als 800 Sicherheitsforscher rekrutiert. Gemeinsam haben sie bereits viele Bugs gemeldet und zahlreiche Auszeichnungen erhalten, die sich auf Belohnungszahlungen, Waren und Geschenke im Wert von über 2,4 Millionen US-Dollar belaufen, seit das Programm eingeführt wurde. Allein im Jahr 2021 zahlte Zoom Belohnungen in Höhe von mehr als 1,8 Millionen US-Dollar auf 401 Berichte verteilt aus. Wir bedanken uns herzlich bei allen, die fleißig Bugs an Zoom gemeldet haben, und ganz besonders bei unseren Top-10-Forschern:

Im letzten Jahr konzentrierte sich unser VMBB-Team („Vulnerability Management and Bug Bounty“, dt.: Sicherheitslückenverwaltung und Bug-Belohnung) auf die wettbewerbsstarke Rekrutierungslandschaft und das Engagieren der renommiertesten Sicherheitsforscher für unser Programm, indem wir ihnen ein erstklassiges Erlebnis boten. 

Um Topleute zu gewinnen, haben wir die folgenden fünf Prinzipien aufgebaut, die der Leitfaden für unser Programm sind und zu dessen Verbesserung beitragen sollen:

• Klare und prägnante Programmrichtlinien, die erlaubte Testmethoden beschreiben, Details zur „Safe Harbor“-Richtlinie des Programms enthalten und eine Aufstellung der potenziellen Belohnungszahlungsbereiche für bestimmte Schwachstellenberichte.
  
• Die Angriffsfläche, auch bezeichnet als Rahmen eines Bug-Bounty-Programms, wird konsequent vergrößert und Bereiche, die ausdrücklich außerhalb des Rahmens liegen oder verboten sind, werden klar definiert.
  
• Die Dauer der Programmreaktion, Behebung und Bezahlung wird minimiert. Niemand wartet gerne ewig auf eine Antwort oder seine Bezahlung. Das gilt auch für ethische Hacker.
  
• Professionelle Beziehungen und direkte Kommunikation mit Zoom-Mitarbeitern, die das Bug-Bounty-Programm verwalten, eingereichte Berichte selektieren und Belohnungszahlungen bestimmen.
  
• Attraktive Belohnungen, die die investierte Arbeit der Forscher und die Schwere einer gefundenen Schwachstelle genau widerspiegeln.

Zur Unterstützung der Forscher an Bord und um neue zu begeistern, hat Zoom 2021 einige wichtige Updates für das Bug-Bounty-Programm umgesetzt. Dazu gehörten:

• Wir sind vom alten statischen Belohnungsmodell, das lediglich auf der Schwere der gemeldeten Schwachstelle basiert, zu einer Belohnungsliste übergegangen. In dieser Liste finden Forscher spezifische Belohnungsbeträge auf Grundlage der Art der gefundenen Schwachstelle und den vorgeführten potenziellen Auswirkungen auf die Benutzer und Infrastruktur von Zoom. Im Januar 2021 hob Zoom die Obergrenze der Belohnungstabelle auf 50 000 USD für einen einzigen Bericht und die Untergrenze auf 250 USD an.

• Wir haben ein öffentliches Programm zur Offenlegung von Schwachstellen (VDP, „Vulnerability Disclosure Program“) eingeführt, in dem jeder Schwachstellen an Zoom berichten konnte, nicht nur etablierte Sicherheitsforscher. So wurde der Zufluss an Berichten optimiert und der schnelle Eingriff durch das richtige Team bei Zoom ermöglicht, sodass Bugs schneller behoben werden können und die Produktsicherheit schneller verbessert wird.

• Im Oktober 2021 starteten wir unser VIP-Bug-Bounty-Programm. In diesem Programm konzentrierten wir uns auf lizenzierte Zoom-Lösungen und weiteten den Rahmen der Sicherheitstests aus.
  
• Während 2021 konzentrierte sich das Zoom VMBB-Team darauf, die Zeiten für die Erstreaktion, Triage, Behebung und Belohnungszahlung zu verkürzen. Unseren aktuellen Zahlen zufolge findet die Erstreaktion durchschnittlich innerhalb von weniger als vier Stunden statt und die Triage eines eingehenden Berichts dauert in der Regel weniger als 48 Stunden. Belohnungszahlungen werden wöchentlich vom Team besprochen und überprüft, sodass sie üblicherweise innerhalb von 14 Tagen nach Einreichung des Berichts erfolgen.

• Zur Stärkung der bestehenden Beziehungen zu unseren Forschern hat Zoom mehrere Kennenlerntreffen in Form von Zoom-Meetings veranstaltet und Forscher aus aller Welt eingeladen. Die Gemeinde der ethischen Hacker ist unglaublich vielfältig – von College-Studenten und -Professoren bis hin zu begabten Teenagern, die die Welt des Hacking erkunden, und erfahrenen Zoom-Benutzern, denen „etwas Merkwürdiges“ aufgefallen ist, ist alles dabei. 

2021 haben wir viel gelernt und sind über uns hinausgewachsen. Das wollen wir mit weiteren ethischen Hackern im Jahr 2022 weiterführen und freuen uns bereits sehr auf die gemeinsame Zusammenarbeit. Wenn auch Sie zu mehr Sicherheit auf Zoom beitragen möchten, senden Sie Ihren HackerOne-Profilnamen an bugbounty@zoom.us oder besuchen Sie die Karriereseite von Zoom, um ausgeschriebene Stellen in den Trust-and-Security-Teams zu finden. Viel Spaß beim Hacken!

Besuchen Sie unser Trust Center, um mehr über Datenschutz und Sicherheit bei Zoom zu erfahren.