Melindungi Zoom dan Pelanggan Kami: sekilas tentang keberhasilan program Bug Bounty kami pada tahun 2022

Kami menguji infrastruktur kami setiap hari di Zoom, tetapi kami tahu bahwa kami tidak kebal dengan kerentanan tingkat tinggi. Jadi, kami mencari bantuan — komunitas peretas etis terkadang dapat mendeteksi bug yang hanya dapat ditemukan dalam keadaan tertentu. 

Itulah sebabnya program bug bounty kami berfokus untuk merekrut peneliti yang terampil dan efektif. Pada tahun 2022, kami mengirim undangan tambahan kepada para peneliti untuk bergabung dengan program HackerOne kami dengan fokus untuk menarik bakat keamanan aktif. Kami juga ingin melampaui program kami untuk menemukan bakat, jadi kami memanfaatkan komunitas melalui acara industri seperti H1-702.

Para peneliti ini bekerja keras untuk membantu kami, jadi kami berusaha untuk merayakan pengiriman laporan yang berhasil. Pada tahun fiskal 2023, kami memberikan hadiah sebesar $3,9 juta kepada ratusan peneliti dan lebih dari $7 juta hingga saat ini sejak program dimulai. 

Selain mengidentifikasi kerentanan, dukungan peneliti luar telah membantu kami membuat bentuk kemajuan lain di Zoom. Kami menggunakan laporan ini untuk menunjukkan item yang memerlukan perhatian, menandai penyebab tingkat akar untuk masalah, menciptakan keselarasan lintas fungsi yang lebih baik, dan menemukan ancaman potensial sebelum menjadi masalah. Hasilnya, waktu kami untuk resolusi untuk laporan Bug Bounty telah meningkat secara signifikan selama dua tahun terakhir.

Pada awal tahun ini, kami merestrukturisasi tim kami dan mengembangkan pembaruan untuk program untuk FY24. Kami mengevaluasi para peneliti yang saat ini bekerja untuk program kami guna memastikan bahwa semua orang aktif dan berkontribusi. Kami ingin memulai dengan langkah yang tepat di tahun yang baru, dan semua itu diawali dengan bekerja bersama para peneliti yang sangat ahli dan efektif.

Program Bug Bounty Zoom juga menerapkan sistem penilaian dampak kerentanan baru untuk membantu para peneliti melakukan pekerjaan terbaik mereka. Sementara kami akan terus menggunakan Sistem Penilaian Kerentanan Umum (CVSS) standar industri untuk menilai laporan, kami mengembangkan program kami untuk menambahkan sistem penilaian pendamping yang disebut Sistem Penilaian Dampak Kerentanan (VISS) yang menganalisis 13 aspek dampak yang berbeda untuk setiap kerentanan yang dilaporkan karena sistem tersebut berkaitan dengan infrastruktur, teknologi, dan keamanan data pelanggan Zoom. Dengan penerapan VISS, Bug Bounty dapat lebih fokus pada pengukuran dampak yang ditunjukkan secara bertanggung jawab, daripada kemungkinan teoritis eksploitasi.

Karena program Bug Bounty Zoom telah berkembang selama setahun terakhir, kami terus mengembangkan dan mematangkan proses kami, penghargaan hadiah, dan ruang lingkup pengujian. Kami sangat senang melihat dampak dari sistem penilaian baru kami dan semua kebaikan yang dapat dilakukan peneliti kami pada tahun 2023. 

Jika Anda tertarik untuk membantu membuat Zoom lebih aman, kirim nama profil HackerOne Anda melalui email ke bugbounty@zoom.us atau kunjungi halaman karir Zoom untuk melihat posisi yang terbuka dalam tim Kepercayaan dan Keamanan. Selamat meretas!

Untuk mempelajari selengkapnya tentang privasi dan keamanan Zoom, jelajahi Pusat Kepercayaan kami.