Sicurezza e Privacy

Proteggere il futuro: Zoom collabora con HackerOne all'evento H1-4420

Siamo entusiasti di aver sponsorizzato l'evento HackerOne H1-4420 di quest'anno, svoltosi il 22 giugno 2023 a Londra, presso il CodeNode.
4 tempo di lettura

Data di aggiornamento August 02, 2023

Pubblicato in data July 24, 2023

H1-4420 event

La riunione dei migliori hacker al mondo

Per noi di Zoom, sicurezza e privacy non sono solo termini in voga: sono concetti che si integrano con la nostra cultura e con le iniziative principali. Nel panorama della sicurezza informatica in costante evoluzione, sappiamo che è fondamentale tentare di essere un passo avanti rispetto alle minacce potenziali. Ecco perché sfruttiamo l'esperienza della comunità degli hacker etici per contribuire a identificare e risolvere le vulnerabilità prima che degli attori malintenzionati possano sfruttarle. La partnership con HackerOne e la partecipazione ai suoi eventi di hacking dal vivo sono alcuni dei modi in cui otteniamo tutto ciò.

Siamo entusiasti di aver sponsorizzato l'evento HackerOne H1-4420 di quest'anno, che si è tenuto il 22 giugno 2023 a Londra, al CodeNode. Questo evento ci ha offerto la preziosa opportunità di collaborare con alcuni degli hacker etici di maggior talento al mondo, che hanno lavorato insieme per contribuire a migliorare la sicurezza della piattaforma Zoom. Impegnandoci attivamente con questa comunità, non solo possiamo ridurre i rischi, possiamo anche promuovere l'innovazione e proseguire nel miglioramento dei nostri servizi.

Valutazione dei bug: stima delle vulnerabilità con CVSS e VISS

Gli hacker che hanno partecipato all'H1-4420 hanno eseguito un avanzato processo di valutazione dei bug. Il processo ha utilizzato sia l'approccio convenzionale del Common Vulnerability Scoring System (Sistema di valutazione delle vulnerabilità comuni, CVSS) sia il nuovo Vulnerability Impact Scoring System (Sistema di valutazione dell'impatto delle vulnerabilità, VISS) di Zoom. Con VISS, abbiamo superato l'analisi a livello superficiale e valutato l'impatto dimostrato di ciascun bug sulla piattaforma Zoom.

Integrando VISS nel nostro programma di ricompense per i bug rilevati, permettiamo al nostro team di allocare efficacemente le risorse e di focalizzarsi sulle vulnerabilità più critiche. Questo approccio proattivo migliora il nostro modello di sicurezza generale, contribuendo a garantire ai nostri apprezzati clienti un ambiente sicuro e protetto. L'introduzione di VISS esemplifica l'impegno di Zoom nei confronti di prassi di sicurezza solide e della creazione di un rapporto di fiducia con i clienti. Zoom infatti si impegna strenuamente per essere all'avanguardia nella ricerca di misure di sicurezza complete.

Uso dell'IA e caccia agli Easter egg di Zoom

Gli hacker che hanno partecipato all'H1-4420 hanno eseguito un avanzato processo di valutazione dei bug. Il processo ha utilizzato sia l'approccio convenzionale del Common Vulnerability Scoring System (Sistema di valutazione delle vulnerabilità comuni, CVSS) sia il nuovo Vulnerability Impact Scoring System (Sistema di valutazione dell'impatto delle vulnerabilità, VISS) di Zoom. Con VISS, abbiamo superato l'analisi a livello superficiale e valutato l'impatto dimostrato di ciascun bug sulla piattaforma Zoom.

Integrando VISS nel nostro programma di ricompense per i bug rilevati, permettiamo al nostro team di allocare efficacemente le risorse e di focalizzarsi sulle vulnerabilità più critiche. Questo approccio proattivo migliora il nostro modello di sicurezza generale, contribuendo a garantire ai nostri apprezzati clienti un ambiente sicuro e protetto. L'introduzione di VISS esemplifica l'impegno di Zoom nei confronti di prassi di sicurezza solide e della creazione di un rapporto di fiducia con i clienti. Zoom infatti si impegna strenuamente per essere all'avanguardia nella ricerca di misure di sicurezza complete.

Scatenare la creatività e il divertimento: attività per hacker

Zoom, come enigmi aggiuntivi che i partecipanti devono risolvere all'evento di quest'anno, ha creato anche tre "Easter egg". Ognuno dei tre enigmi prevedeva la violazione di differenti algoritmi di crittografia attraverso diversi tipi di sfruttamento delle vulnerabilità. In un esempio, l'hacker "rez0" ha utilizzato uno strumento di IA per generare nuovi elenchi di parole che lo aiutassero a risolvere l'enigma con l'approccio di forza bruta. È la norma vedere gli hacker che utilizzano applicativi di IA per essere ancora più efficienti nel rilevamento e nello sfruttamento delle vulnerabilità.

Ricompense per i ricercatori: l'impatto del programma di ricompense per i bug rilevati di Zoom

Nel corso dell'evento non abbiamo parlato solo di hacking e di sicurezza informatica. Volevamo anche creare un'atmosfera divertente e rilassata per i nostri partecipanti. HackerOne, offrendo una piacevole pausa dal lavoro, ha allestito una postazione con delle cartoline personalizzate che gli hacker potevano spedire a casa. Inoltre, c'era un muro sul quale disegnare, dove gli hacker hanno potuto esibire la loro creatività e godersi un momento di espressione artistica. Pensiamo che un ambiente equilibrato e piacevole favorisca la collaborazione e stimoli nuove idee.

Cartolina
Un partecipante inizia a scrivere una cartolina da spedire a casa.

I nostri clienti ci amano

Okta
Nasdaq
Rakuten
Logitech
Western Union
Autodesk
Dropbox
Okta
Nasdaq
Rakuten
Logitech
Western Union
Autodesk
Dropbox

Zoom – Una piattaforma per comunicare