Programa de recompensa de errores de Zoom: Resumen de 2021

Aunque en Zoom probamos nuestras soluciones e infraestructuras todos los días, sabemos que es importante aumentar estas pruebas, y recurrimos a la comunidad de hackers éticos para ayudar a identificar las vulnerabilidades de los casos límite que solo pueden detectarse en determinadas circunstancias y casos de uso.

Por ese motivo, Zoom ha invertido en un equipo global de investigadores de seguridad especializados a través de un programa privado de recompensa de errores en la plataforma de HackerOne, el principal proveedor del sector para la contratación y el compromiso con los profesionales centrados en la seguridad. A los programas privados de recompensa de errores solo se puede acceder con invitación, lo que permite a las empresas seleccionar a los investigadores de seguridad en función de su trabajo anterior. HackerOne calcula las estadísticas de cada investigador según su relación señal a ruido, su impacto en los programas en los que ha contribuido y su reputación; todo esto ayuda a medir la relevancia y la posibilidad de acción de sus hallazgos.  

Zoom ha contratado a más de 800 investigadores de seguridad en la plataforma HackerOne. Su trabajo colectivo ha dado lugar a la presentación de una gran cantidad de informes de errores y a la concesión de más de 2,4 $ millones en pagos de recompensas, artículos promocionales y regalos desde que se presentó el programa. Solo en 2021, Zoom concedió más de 1,8 $ millones en 401 informes. Nos gustaría agradecer a todos los que han revelado errores a Zoom de forma responsable, en especial a los siguientes investigadores que han entrado en nuestra lista de los 10 mejores:

El año pasado, nuestro equipo de gestión de vulnerabilidades y recompensa de errores (VMBB) se centró en un panorama de contratación competitivo y en atraer a más investigadores de seguridad destacados para que se unieran a nuestro programa al ofrecerles una experiencia excelente.

Para atraer a los más talentosos, establecimos los siguientes cinco principios para ayudar a guiar y mejorar nuestro programa:

• Políticas del programa claras y concisas que expliquen qué tipos de pruebas están permitidas, detalles sobre la política de exclusión de responsabilidad del programa y un menú de rangos de pago de recompensas potenciales para tipos de informes de vulnerabilidad específicos.
  
• Aumento constante de la amplitud de la superficie de ataque, también conocida como el «alcance» de un programa de recompensa de errores, y definición clara de lo que está específicamente fuera del alcance o de los límites.
  
• Minimización de los plazos de respuesta, reparación y pago del programa. A nadie le gusta esperar para sentirse escuchado o para que le paguen por su trabajo, y esto incluye a los hackers éticos.
  
• Relaciones profesionales y relación directa con los empleados de Zoom que gestionan el programa de recompensa de errores, clasifican los informes enviados y determinan los pagos de las recompensas.
  
• Recompensas competitivas que reflejen con exactitud el trabajo realizado por los investigadores y la gravedad del impacto que puede tener una vulnerabilidad si se explota.

Para apoyar a los investigadores existentes y atraer nuevos talentos, Zoom también implementó varias actualizaciones clave a nuestro programa de recompensa de errores en 2021. Esto incluyó lo siguiente:

• Nos alejamos de un rango de recompensas estático basado únicamente en la gravedad de la vulnerabilidad informada e implementamos un «Menú de recompensas». Este menú ofrece a los investigadores cantidades específicas como recompensa, basadas en el tipo de vulnerabilidad encontrada y el impacto demostrado que puede tener en los usuarios y la infraestructura de Zoom. En enero de 2021, Zoom elevó el extremo superior de la tabla de recompensas a 50 000 $ por un solo informe y el extremo inferior a 250 $.

• Habilitamos un programa de revelación de vulnerabilidades (VDP) público que permite a cualquier persona enviar informes de vulnerabilidad a Zoom, no solo a los investigadores de seguridad establecidos. Esto ha agilizado la recepción de informes y permite que los equipos adecuados de Zoom se involucren rápidamente y, en última instancia, conduce a una corrección más rápida de los errores y a un producto más seguro.

• En octubre de 2021, lanzamos nuestro programa de recompensa de errores VIP. Este programa se centra en las versiones con licencia de las soluciones de Zoom y ha ampliado el alcance de las pruebas de seguridad.
  
• A lo largo de 2021, el equipo de VMBB de Zoom se centró en disminuir los tiempos de respuesta inicial, la clasificación, la corrección y el pago de recompensas. Nuestras métricas actuales muestran que el tiempo promedio de respuesta inicial es de menos de cuatro horas, mientras que la clasificación completa de un informe entrante suele tardar menos de 48 horas. El equipo discute y revisa los pagos de las recompensas semanalmente y, en general, las recompensas se pagan dentro de los 14 días siguientes a la presentación del informe.

• Para ayudar a establecer relaciones continuas con nuestros investigadores, Zoom ha organizado varios encuentros en Zoom Meetings con investigadores de todo el mundo. Existe una increíble diversidad dentro de la comunidad de hackers éticos, desde estudiantes y profesores universitarios hasta adolescentes brillantes que están aprendiendo a hackear y usuarios cotidianos de Zoom que «notaron algo raro».

Hemos aprendido y crecido mucho en 2021, y estamos entusiasmados por ampliar estos esfuerzos y trabajar con más hackers éticos en 2022. Si le interesa ayudar a hacer que Zoom sea más seguro, envíe su nombre de perfil de HackerOne por correo electrónico a bugbounty@zoom.us o visite la página de empleos de Zoom para revisar los puestos vacantes dentro de los equipos de confianza y seguridad. ¡Feliz hackeo!

Para obtener más información acerca de la privacidad y la seguridad de Zoom, explore nuestro Trust Center.