Anno in rassegna: cosa significa il nostro programma di ricompense per i bug rilevati 2023 per la sicurezza di Zoom

La sicurezza è un obiettivo costante in Zoom e un investimento continuo per cui ci impegniamo attraverso una varietà di programmi e iniziative. Il programma di ricompense per i bug rilevati di Zoom è una di queste iniziative volte a migliorare la sicurezza online e un brillante esempio di collaborazione, innovazione e miglioramento continuo che abbraccia l'intera comunità di Zoom. Dal 2019 lavoriamo attivamente con la comunità dei ricercatori e ora siamo entusiasti di annunciare che abbiamo assegnato più di 10 milioni di dollari in pagamenti al programma di ricompense per i bug rilevati per aiutare a rafforzare le difese di Zoom e proteggere la privacy e la sicurezza dei nostri utenti. 

Il programma di ricompense per i bug rilevati di Zoom è progettato per incentivare la scoperta e la divulgazione responsabile delle vulnerabilità di sicurezza. Negli ultimi due anni, abbiamo implementato un processo semplificato per garantire reazioni e risposte tempestive a tutti i rapporti sulla sicurezza. Una volta che un bug è stato rilevato e inviato da uno dei nostri oltre 800 ricercatori, il nostro team di sicurezza farà analizzare il rapporto, lo farà riprodurre e lo invierà al team di sviluppo interno corretto per la correzione, in media, entro poche ore. 

Negli ultimi tre anni e più, Zoom ha ridotto il costo per rapporto di funzionamento del programma, aumentando allo stesso tempo l'identificazione delle vulnerabilità, che hanno un impatto tangibile sulla nostra piattaforma. In soli tre anni, abbiamo ridotto del 40% il costo per una segnalazione valida e abbiamo osservato più del doppio degli invii segnalati.

VISS

Nel gennaio 2023, il team delle ricompense per i bug rilevati si è impegnato a creare, perfezionare e rilasciare un nuovo meccanismo innovativo per misurare l'impatto reale che lo sfruttamento di una vulnerabilità ha su un sistema. L'implementazione a marzo del Vulnerability Impact Scoring System, o VISS, è stato il risultato di questo sforzo collaborativo che abbiamo reso open source su Github. 

Zoom utilizza VISS da più di un anno e ha riscontrato un crescente interesse da parte di altri team delle ricompense per i bug rilevati alla ricerca di una misura più obiettiva dell'impatto della vulnerabilità. A oggi, la collaborazione e il feedback su VISS sono stati positivi. Anche i ricercatori in materia di sicurezza stanno contribuendo con il loro feedback, il che aumenta la collaborazione e l'attenzione di VISS e l'approccio trasparente di Zoom alla gestione delle ricompense per i bug rilevati.

"VISS ci consente di personalizzare il lavoro dei ricercatori in materia di sicurezza in modo da concentrarci sulle cose più importanti, che hanno il più alto livello di impatto, e quindi i nostri pagamenti sono orientati di conseguenza", spiega Michael Adams, CISO di Zoom. "Non solo voglio pagare di conseguenza, ma voglio incentivare di conseguenza, e se non posso fornire chiarezza all'interno del mio sistema di punteggio, è difficile per loro capire. Ora siamo in grado di fornire un certo grado di chiarezza", afferma Adams.

Per approfondire le specifiche e per provare l'implementazione del calcolatore VISS da parte di Zoom, dai un'occhiata alla specifica VISS completa.

HackerOne

Siamo stati anche entusiasti di sponsorizzare l'evento HackerOne H1-4420 di quest'anno, che si è svolto il 22 giugno 2023 presso CodeNode a Londra. Questo evento ci ha fornito un'opportunità inestimabile di collaborare con oltre 90 dei più talentuosi hacker etici provenienti da 41 Paesi, che hanno lavorato insieme per contribuire a migliorare la sicurezza della piattaforma Zoom. Impegnandoci attivamente con questa comunità, non solo possiamo mitigare i rischi, ma possiamo anche promuovere l'innovazione e migliorare continuamente i nostri servizi. Ecco un riassunto dell'evento.

Premi per i bug rilevati

Il 2023 è stato un anno importante per noi, in quanto abbiamo effettuato pagamenti di premi per il programma di ricompense per i bug rilevati per oltre 2,4 milioni di dollari per oltre 1000 segnalazioni valide separate inviate da più di 200 diversi ricercatori di sicurezza. Ciò ha portato il totale cumulativo dei premi delle ricompense per i bug rilevati a oltre 10 milioni di dollari.

Poiché l'IA e l'apprendimento automatico sono sempre più strettamente integrati nei prodotti Zoom, il team di Zoom delle ricompense per i bug rilevati si è impegnato a collaborare con molti dei nostri migliori ricercatori per identificare le vulnerabilità. L'ascesa dell'IA generativa introduce nuovi rischi per la sicurezza e la privacy, tra cui la disinformazione, l'inquinamento e l'esfiltrazione dei dati. Utilizzando la funzionalità Campagne all'interno dei nostri programmi VIP, la piattaforma HackerOne fornisce tutta la potenza di elaborazione back-end di cui Zoom ha bisogno per avere collaborazioni significative e bidirezionali con i ricercatori. 

Oltre alla nostra attenzione all'IA, abbiamo una solida serie di funzionalità in programma per il rilascio quest'anno nell'ambito della nostra roadmap per il 2024. Con questo in mente, attendiamo con impazienza un'ondata di nuovi invii di report dalla nostra promozione "Spring BREAKAGE", iniziata il 1° aprile 2024 e che durerà per tutto il mese di aprile. Diverse nuove funzionalità sono state aggiunte all'ambito dei test e le ricompense sono state aumentate per questa promozione.

Se ti interessa contribuire a rendere Zoom più sicuro, invia il tuo nome del profilo HackerOne a bugbounty@zoom.us o visita la pagina delle Opportunità di lavoro di Zoom per esaminare le posizioni aperte nei team di Fiducia e sicurezza. Buon hacking!

Per saperne di più sulla privacy e sulla sicurezza di Zoom, visita il nostro Centro di fiducia. Hai trovato un bug? Segnala qui un problema di vulnerabilità.