Tinjauan tahunan: Arti program Bug Bounty 2023 bagi keamanan Zoom

Keamanan adalah fokus berkelanjutan di Zoom dan investasi yang terus kami lakukan melalui berbagai program dan inisiatif. Program Bug Bounty Zoom adalah salah satu inisiatif tersebut yang bertujuan untuk meningkatkan keamanan online dan merupakan contoh nyata dari kolaborasi, inovasi, dan peningkatan berkelanjutan yang mencakup seluruh komunitas Zoom. Sejak 2019, kami telah aktif bekerja sama dengan komunitas peneliti, dan sekarang, dengan senang hati kami mengumumkan bahwa kami telah memberikan lebih dari $10 juta dalam pembayaran bug bounty untuk membantu memperkuat pertahanan Zoom dan melindungi privasi serta keamanan pengguna kami. 

Program Bug Bounty Zoom dirancang untuk memberi insentif kepada para peneliti untuk menemukan dan melaporkan kerentanan keamanan secara bertanggung jawab. Dalam dua tahun terakhir, kami telah menerapkan proses yang efisien untuk memastikan reaksi dan tanggapan yang cepat terhadap semua laporan keamanan. Setelah bug terdeteksi dan dilaporkan oleh salah satu dari 800+ peneliti kami, tim keamanan kami akan menganalisis, mereproduksi, dan mengirimkan laporan tersebut ke tim pengembangan internal yang tepat untuk perbaikan, rata-rata, hanya dalam beberapa jam. 

Selama 3+ tahun terakhir, Zoom telah berupaya menurunkan biaya per laporan untuk pengoperasian program, sekaligus meningkatkan identifikasi kerentanan, yang memiliki dampak nyata pada platform kami. Hanya dalam tiga tahun, kami telah menurunkan biaya per laporan yang valid sebesar 40% dan mengamati peningkatan lebih dari dua kali lipat pada pengajuan laporan.

VISS

Pada Januari 2023, tim Bug Bounty berkomitmen untuk membangun, menyempurnakan, dan merilis mekanisme baru yang inovatif untuk mengukur dampak nyata dari eksploitasi kerentanan terhadap suatu sistem. Implementasi Sistem Penilaian Vulnerability Impact Scoring System, atau VISS, pada bulan Maret adalah hasil dari upaya kolaboratif ini yang kami lakukan secara terbuka di Github. 

Zoom telah menggunakan VISS selama lebih dari satu tahun dan telah melihat minat yang meningkat dari tim bug bounty lain yang mencari ukuran dampak kerentanan yang lebih objektif. Hingga saat ini, kolaborasi dan umpan balik tentang VISS sangat positif. Peneliti keamanan juga memberikan umpan balik yang meningkatkan kolaborasi dan fokus VISS, serta pendekatan transparan Zoom terhadap manajemen bug bounty.

“VISS memungkinkan kami untuk menyesuaikan pekerjaan peneliti keamanan sehingga kami fokus pada hal-hal yang paling penting, yang memiliki dampak tertinggi, dan kemudian pembayaran kami disesuaikan dengan hal tersebut,” jelas Michael Adams, Zoom CISO. “Saya tidak hanya ingin membayar sesuai dengan hal tersebut, tetapi saya juga ingin memberikan insentif sesuai dengan hal tersebut, dan jika saya tidak dapat memberikan kejelasan dalam sistem penilaian saya, sulit bagi mereka untuk memahaminya. Sekarang kami dapat memberikan tingkat kejelasan tertentu,” kata Adams.

Untuk mempelajari secara spesifik, dan mencoba implementasi kalkulator VISS Zoom, baca spesifikasi lengkap VISS.

HackerOne

Kami juga sangat senang menjadi sponsor acara HackerOne H1-4420 tahun ini, yang diadakan pada 22 Juni 2023, di CodeNode di London. Acara ini memberi kami kesempatan yang tak ternilai untuk berkolaborasi dengan lebih dari 90 peretas etis paling berbakat dari 41 negara, semuanya bekerja sama untuk membantu meningkatkan keamanan platform Zoom. Dengan secara aktif terlibat dengan komunitas ini, kami tidak hanya dapat mengurangi risiko tetapi juga mendorong inovasi dan terus meningkatkan layanan kami. Berikut ringkasan acaranya.

Penghargaan bug bounty

Tahun 2023 adalah tahun yang besar bagi kami karena kami telah melakukan pembayaran penghargaan bug bounty lebih dari $2,4 juta untuk 1.000+ laporan valid terpisah yang diajukan oleh lebih dari 200 peneliti keamanan yang berbeda. Hal ini menjadikan total kumulatif penghargaan bug bounty menjadi lebih dari $10 juta.

Seiring dengan kecerdasan buatan dan pembelajaran mesin yang semakin terintegrasi ke dalam produk Zoom, tim Bug Bounty Zoom telah sibuk bekerja dengan banyak peneliti top kami untuk mengidentifikasi kerentanan. Munculnya AI generatif menimbulkan risiko keamanan dan privasi baru termasuk kesalahan informasi, pencemaran data, dan kebocoran data. Dengan menggunakan fungsionalitas Kampanye dalam program VIP kami, platform HackerOne menyediakan semua daya pemrosesan backend yang dibutuhkan Zoom untuk memiliki kolaborasi dua arah yang berarti dengan para peneliti. 

Selain fokus kami pada AI, kami memiliki serangkaian fitur yang kuat yang akan dirilis tahun ini sebagai bagian dari peta perjalanan kami di tahun 2024. Dengan mengingat hal ini, kami menantikan gelombang pengiriman laporan baru dari promosi "Spring BREAKAGE", yang dimulai pada 1 April 2024, dan berlangsung sepanjang bulan April. Beberapa fitur baru telah ditambahkan ke ruang lingkup pengujian, dan bounty telah ditingkatkan untuk promosi ini.

Jika Anda tertarik untuk membantu membuat Zoom lebih aman, kirimkan nama profil HackerOne Anda ke bugbounty@zoom.us atau kunjungi halaman karier Zoom untuk meninjau lowongan yang terbuka di tim Kepercayaan dan Keamanan. Selamat meretas!

Untuk mempelajari selengkapnya tentang privasi dan keamanan Zoom, kunjungi Pusat Kepercayaan. Menemukan bug? Laporkan masalah kerentanan di sini..