Zoom bekerja sama dengan HackerOne di acara H1-4420

Di Zoom, keamanan dan privasi bukan sekadar jargon — keduanya merupakan bagian dari budaya dan inisiatif utama kami. Dalam lanskap keamanan siber yang terus berkembang, kami tahu bahwa penting untuk tetap terdepan terhadap potensi ancaman. Itulah mengapa kami memanfaatkan keahlian komunitas peretasan etis untuk membantu mengidentifikasi dan mengatasi kerentanan sebelum dapat dieksploitasi oleh para pelaku ancaman. Salah satu cara kami mencapai hal ini adalah melalui kemitraan dengan HackerOne dan partisipasi kami dalam acara peretasan langsung mereka.

Kami sangat senang menjadi sponsor acara HackerOne H1-4420 tahun ini, yang berlangsung pada 22 Juni 2023, di CodeNode di London. Acara ini memberi kami kesempatan tak ternilai untuk berkolaborasi dengan beberapa peretas etis paling berbakat dari seluruh dunia, semuanya bekerja sama untuk membantu meningkatkan keamanan platform Zoom. Dengan terlibat secara aktif dengan komunitas ini, kami tidak hanya dapat memitigasi risiko, tetapi juga mendorong inovasi dan terus meningkatkan layanan kami.

Acara H1-4420 menyatukan lebih dari 90 profesional keamanan dari lebih dari 41 negara, baik berpartisipasi secara langsung maupun secara virtual. Para peretas terampil ini mempelajari platform Zoom, mencari potensi kerentanan di berbagai produk, mulai dari Zoom Mail dan Zoom Calendar hingga Zoom AI Companion. Upaya mereka memberikan dukungan yang berharga, membantu kami mengembangkan produk dan melindungi pelanggan kami dengan lebih baik. Kami sangat berterima kasih atas kontribusi mereka.

Para peretas top kami di H1-4420 yang mendapatkan hadiah dan kategori lainnya mencakup:

Juara pertama dan gelar Exterminator: cache-money

Juara kedua dan gelar Vigilante: f6x

Kolaborasi terbaik: tomanthony, todayisnew, hx01, dan shubs.

Kami bangga memiliki kesempatan untuk membantu HackerOne merayakan dan memenangkan peretasan etis strategis dari orang-orang ini. 

Peretas yang berpartisipasi dalam H1-4420 menjalani proses evaluasi bug lanjutan yang menggunakan pendekatan Sistem Penilaian Kerentanan Umum (CVSS) konvensional dan Sistem Penilaian Dampak Kerentanan (VISS) Zoom yang baru. Dengan VISS, kami melampaui analisis tingkat permukaan dan menilai dampak yang ditunjukkan dari setiap bug pada platform Zoom.

Dengan memasukkan VISS ke dalam program bug bounty, kami memberdayakan tim kami untuk mengalokasikan sumber daya secara efisien dan berfokus pada kerentanan yang paling kritis. Pendekatan proaktif ini meningkatkan postur keamanan kami secara keseluruhan, membantu memastikan lingkungan yang aman dan terjamin untuk pelanggan kami yang berharga. Komitmen Zoom terhadap praktik keamanan yang kuat dan membangun kepercayaan dengan pelanggan kami dicontohkan melalui pengenalan VISS, karena kami terus berusaha untuk tetap terdepan dalam mengejar langkah-langkah keamanan komprehensif yang berkelanjutan.

Untuk acara tahun ini, Zoom juga membuat tiga "Easter egg" sebagai teka-teki tambahan untuk dipecahkan oleh peserta. Masing-masing dari tiga teka-teki tersebut melibatkan pemecahan berbagai algoritme enkripsi melalui berbagai jenis eksploitasi. Misalnya, peretas bernama “rez0” menggunakan alat AI untuk membantu membuat daftar kata baru guna membantu pendekatan brute force untuk memecahkan teka-teki. Kami terus melihat peretas menggunakan alat AI untuk menjadi lebih efisien dalam upaya deteksi dan eksploitasi kerentanan mereka.

Selama acara, tidak hanya berisi diskusi tentang peretasan dan keamanan siber. Kami juga ingin menciptakan suasana yang menyenangkan dan santai untuk para peserta. HackerOne menyiapkan stasiun kartu pos khusus tempat peretas dapat mengirim kartu pos kembali ke rumah, memberikan istirahat yang menyenangkan dari pekerjaan mereka. Selain itu, kami memiliki dinding mewarnai tempat para peretas dapat memamerkan kreativitas mereka dan menikmati momen ekspresi artistik. Kami percaya bahwa lingkungan yang seimbang dan menyenangkan akan mendorong kolaborasi dan memicu ide-ide baru.

Tahun fiskal lalu, Zoom memberikan hadiah sebesar $3,9 juta kepada ratusan peneliti, menjadikan jumlah total yang diberikan melalui program Bug Bounty kami menjadi lebih dari $7 juta sejak program dimulai. Investasi ini mencerminkan dedikasi kami untuk mempertahankan tingkat keamanan dan privasi tertinggi bagi pelanggan kami.

Selain terus mengembangkan Program Bug Bounty kami, acara seperti H1-4420 berfungsi sebagai pengingat kekuatan kolaborasi dan upaya kolektif yang diperlukan untuk membantu tetap terdepan dalam lanskap keamanan siber. Dengan bekerja sama dengan para peretas etis dari seluruh dunia, kami dapat secara proaktif mengatasi kerentanan dan menciptakan lingkungan yang lebih aman bagi pelanggan kami.

Untuk mempelajari selengkapnya tentang upaya peretasan etis dan Kebijakan Pengungkapan Kerentanan kami, kunjungi halaman program Bug Bounty.

Catatan editor: Postingan blog ini telah diedit pada tanggal 31 Juli 2023 untuk menyertakan informasi terbaru tentang program bug bounty kami.