La protección de Zoom y de nuestros clientes: una perspectiva del éxito de nuestro Programa de recompensa de errores en 2022

En Zoom, probamos nuestra infraestructura todos los días, pero sabemos que no somos inmunes a los casos más extremos de vulnerabilidad. Así que pedimos refuerzos: la comunidad de piratas éticos a veces puede detectar errores que solo se descubren en determinadas circunstancias.

Por eso, nuestro Programa de recompensa de errores se concentra en seleccionar investigadores cualificados y eficaces. En 2022, enviamos más invitaciones a investigadores para que se unieran a nuestro Programa HackerOne con el objetivo de atraer a profesionales activos en el ámbito de la seguridad. También nos gusta ir más allá de nuestro programa para encontrar profesionales, por lo que recurrimos a la comunidad a través de eventos del sector como H1-702.

Estos investigadores hacen un gran trabajo para ayudarnos, así que nos esforzamos por felicitar las entregas de informes satisfactorias como corresponde. En el año fiscal 2023, asignamos 3,9 millones de dólares en recompensas a cientos de investigadores y más de 7 millones de dólares hasta la fecha desde que comenzó el programa.

Más allá de la identificación de vulnerabilidades, el apoyo de los investigadores externos nos ha permitido progresar de otras formas en Zoom. Utilizamos estos informes para evidenciar los elementos que requieren atención, señalar las causas fundamentales de los errores, crear una mejor alineación interfuncional y detectar posibles amenazas antes de que se conviertan en un problema. Gracias a ello, nuestro tiempo de resolución de los informes de recompensas por errores ha mejorado considerablemente en los últimos dos años.

A principios de este año, reestructuramos nuestro equipo y desarrollamos actualizaciones del programa para el año fiscal 2024. Evaluamos a los investigadores que actualmente forman parte de nuestro programa para asegurarnos de que todos están activos y colaborando. Queremos empezar el nuevo año un paso adelante, y todo empieza trabajando con investigadores eficaces y altamente calificados.

El Programa de recompensa de errores de Zoom también está implementando un nuevo sistema de puntuación sobre el impacto de las vulnerabilidades para ayudar a los investigadores a hacer el mejor trabajo posible. Aunque seguiremos utilizando el sistema estándar del sector, el Sistema de Puntuación de Vulnerabilidades Comunes (CVSS, por sus siglas en inglés), para asignar puntuaciones a los informes, estamos mejorando nuestro programa para añadir un sistema de puntuación complementario denominado Sistema de Puntuación sobre el Impacto de las Vulnerabilidades (VISS, por sus siglas en inglés), que analiza 13 aspectos diferentes del impacto de cada vulnerabilidad notificada en relación con la infraestructura de Zoom, la tecnología y la seguridad de los datos de los clientes. Con la implementación del VISS, el Programa de recompensa de errores puede centrarse más en medir el impacto demostrado de forma responsable, en lugar de la posibilidad teórica de explotación.

Como el Programa de recompensa de errores de Zoom fue creciendo durante el último año, seguimos evolucionando y perfeccionando nuestros procesos, recompensas y alcance de las pruebas. Estamos ansiosos por ver el impacto de nuestro nuevo sistema de puntuación y los resultados positivos que nuestros investigadores pueden aportar en 2023.

Si le interesa ayudar a hacer que Zoom sea más seguro, envíe su nombre de usuario de HackerOne por correo electrónico a bugbounty@zoom.us o visite la página de empleos de Zoom para consultar los puestos vacantes en los equipos de Confianza y Seguridad. ¡Feliz hackeo!

Para obtener más información acerca de la privacidad y la seguridad de Zoom, explore nuestro Centro de confianza.