Resumen del año: qué significa nuestro Programa de Recompensas de Errores de 2023 para la seguridad de Zoom

La seguridad es un objetivo constante en Zoom y una inversión continua con la que mantenemos nuestro compromiso mediante diversos programas e iniciativas. El programa de recompensa de errores de Zoom es una de esas iniciativas cuyo objetivo es mejorar la seguridad en línea, y es un magnífico ejemplo de la colaboración, la innovación y la mejora continua que comprende a toda la comunidad de Zoom. Desde 2019, hemos trabajado activamente con la comunidad de investigadores. Ahora, nos alegra anunciar que hemos otorgado más de 10 millones de dólares en pagos de recompensas de errores para ayudar a reforzar las defensas de Zoom y proteger la privacidad y la seguridad de nuestros usuarios. 

El programa de recompensa de errores de Zoom está diseñado para incentivar la detección y divulgación responsable de vulnerabilidades de seguridad. En los últimos dos años, hemos puesto en marcha un proceso optimizado para garantizar reacciones y respuestas rápidas a todos los informes de seguridad. Cuando uno de nuestros más de 800 investigadores detecta un error y lo envía, nuestro equipo de seguridad analiza el informe, lo reproduce y lo envía al equipo de desarrollo interno correspondiente para su corrección que, en promedio, se realiza en unas pocas horas. 

Durante los últimos 3 años o más, Zoom ha ido reduciendo el coste por informe del funcionamiento del programa, a la vez que aumentaba la identificación de vulnerabilidades, lo que tiene un impacto tangible en nuestra plataforma. En solo tres años, hemos reducido el coste por informe válido en un 40 % y hemos observado más del doble de informes presentados.

VISS

En enero de 2023, el equipo de Recompensas de errores se comprometió a crear, perfeccionar y lanzar un nuevo mecanismo innovador para medir el impacto real que la explotación de una vulnerabilidad tiene en un sistema. La implementación en marzo del Sistema de Puntuación del Impacto de las Vulnerabilidades, o VISS, fue el resultado de este esfuerzo de colaboración que publicamos en Github. 

Zoom ha utilizado VISS durante más de un año y ha visto un creciente interés por parte de otros equipos de recompensas de errores que buscan una medida más objetiva del impacto de las vulnerabilidades. Hasta el momento, la colaboración y los comentarios sobre VISS han sido positivos. Los investigadores de seguridad también están contribuyendo con sus comentarios, lo que aumenta la colaboración y el enfoque de VISS, así como el enfoque transparente de Zoom para la administración de las recompensas de errores.

«VISS nos permite adaptar el trabajo de los investigadores de seguridad para que nos concentremos en las cosas que son más importantes, que tienen el mayor nivel de impacto, y entonces nuestros pagos se orientan en consonancia», explica Michael Adams, director de Seguridad de la Información de Zoom. «No solo quiero pagar como corresponde, sino que quiero incentivar como corresponde. Y si no puedo ofrecer claridad en mi sistema de puntuación, es difícil que lo entiendan. Ahora podemos ofrecer cierto grado de claridad», señala Adams.

Para ahondar en los detalles y probar la implementación de Zoom de la calculadora del VISS, revise la especificación completa del VISS.

HackerOne

También nos sentimos encantados de ser patrocinadores del evento HackerOne H1-4420 de este año, que se celebró el 22 de junio de 2023 en CodeNode, en Londres. Este evento nos ofreció una invaluable oportunidad de colaborar con más de 90 de los más talentosos hackers éticos de 41 países, que trabajan juntos para ayudar a mejorar la seguridad de la plataforma Zoom. Al participar activamente con esta comunidad, no solo podemos mitigar los riesgos, sino también promover la innovación y mejorar continuamente nuestros servicios. A continuación, se presenta un resumen del evento.

Premios de recompensas de errores

El 2023 fue un excelente año para nosotros, ya que pagamos recompensas por más de 2,4 millones de dólares por más de 1000 informes válidos que presentaron más de 200 investigadores de seguridad diferentes. Esto supuso un total acumulado de recompensas de errores de más de 10 millones de dólares.

A medida que la inteligencia artificial y el aprendizaje automático se integran más estrechamente en los productos de Zoom, el equipo de Recompensas de errores de Zoom se ha ocupado de trabajar con muchos de nuestros mejores investigadores para identificar vulnerabilidades. El surgimiento de la IA generativa plantea nuevos riesgos para la seguridad y la privacidad, como la desinformación, el envenenamiento de datos y la exfiltración de datos. Al utilizar la funcionalidad de Campañas dentro de nuestros programas VIP, la plataforma HackerOne ofrece toda la potencia de procesamiento backend que Zoom precisa para mantener colaboraciones significativas y bidireccionales con los investigadores. 

Además de nuestro enfoque en la IA, tenemos un sólido conjunto de características programadas para su lanzamiento este año como parte de nuestra hoja de ruta de 2024. Teniendo esto en mente, esperamos una avalancha de nuevos envíos de informes de nuestra promoción «Spring BREAKAGE», que comenzó el 1 de abril de 2024 y se extenderá durante todo el mes de abril. Para esta promoción se han agregado varias características nuevas al alcance de las pruebas y se han aumentado las recompensas.

Si le interesa ayudar a que Zoom sea más seguro, envíe un correo electrónico con su nombre de perfil de HackerOne a bugbounty@zoom.us o visite la página de empleo de Zoom para consultar las vacantes en los equipos de Confianza y Seguridad. ¡Feliz hackeo!

Para obtener más información sobre la privacidad y la seguridad de Zoom, visite nuestro Centro de confianza. ¿Encontró un error? Presente un problema de vulnerabilidad aquí.