Proteggere il futuro: Zoom collabora con HackerOne all'evento H1-4420

L'evento H1-4420 ha riunito oltre 90 professionisti della sicurezza provenienti da più 41 Paesi. La partecipazione è stata sia in presenza che virtuale. Questi super hacker hanno analizzato dettagliatamente la piattaforma Zoom, cercando potenziali vulnerabilità in una serie di prodotti, da Zoom Mail e Calendar a Zoom AI Companion. Il loro impegno offre assistenza inestimabile, contribuendo a far evolvere i nostri prodotti e a proteggere meglio i nostri clienti. Li ringraziamo immensamente per i loro contributi.

Ecco alcuni dei top performer che hanno ricevuto i pagamenti delle ricompense e altre categorie all'H1-4420:

Primo posto e titolo di Sterminatore: cache-money

Secondo posto e titolo di Vigilante: f6x

Miglior collaborazione: tomanthony, todayisnew, hx01 e shubs.

Siamo orgogliosi di aver avuto potuto aiutare HackerOne a festeggiare e a sostenere l'hacking etico strategico di queste persone. 

Gli hacker che hanno partecipato all'H1-4420 hanno eseguito un avanzato processo di valutazione dei bug. Il processo ha utilizzato sia l'approccio convenzionale del Common Vulnerability Scoring System (Sistema di valutazione delle vulnerabilità comuni, CVSS) sia il nuovo Vulnerability Impact Scoring System (Sistema di valutazione dell'impatto delle vulnerabilità, VISS) di Zoom. Con VISS, abbiamo superato l'analisi a livello superficiale e valutato l'impatto dimostrato di ciascun bug sulla piattaforma Zoom.

Integrando VISS nel nostro programma di ricompense per i bug rilevati, permettiamo al nostro team di allocare efficacemente le risorse e di focalizzarsi sulle vulnerabilità più critiche. Questo approccio proattivo migliora il nostro modello di sicurezza generale, contribuendo a garantire ai nostri apprezzati clienti un ambiente sicuro e protetto. L'introduzione di VISS esemplifica l'impegno di Zoom nei confronti di prassi di sicurezza solide e della creazione di un rapporto di fiducia con i clienti. Zoom infatti si impegna strenuamente per essere all'avanguardia nella ricerca di misure di sicurezza complete.

Zoom, come enigmi aggiuntivi che i partecipanti devono risolvere all'evento di quest'anno, ha creato anche tre "Easter egg". Ognuno dei tre enigmi prevedeva la violazione di differenti algoritmi di crittografia attraverso diversi tipi di sfruttamento delle vulnerabilità. In un esempio, l'hacker "rez0" ha utilizzato uno strumento di IA per generare nuovi elenchi di parole che lo aiutassero a risolvere l'enigma con l'approccio di forza bruta. È la norma vedere gli hacker che utilizzano applicativi di IA per essere ancora più efficienti nel rilevamento e nello sfruttamento delle vulnerabilità.

Nel corso dell'evento non abbiamo parlato solo di hacking e di sicurezza informatica. Volevamo anche creare un'atmosfera divertente e rilassata per i nostri partecipanti. HackerOne, offrendo una piacevole pausa dal lavoro, ha allestito una postazione con delle cartoline personalizzate che gli hacker potevano spedire a casa. Inoltre, c'era un muro sul quale disegnare, dove gli hacker hanno potuto esibire la loro creatività e godersi un momento di espressione artistica. Pensiamo che un ambiente equilibrato e piacevole favorisca la collaborazione e stimoli nuove idee.

Durante lo scorso esercizio finanziario, Zoom ha assegnato 3,9 milioni di dollari in ricompense a centinaia di ricercatori, portando il totale delle somme assegnate attraverso il programma di ricompense per i bug rilevati a oltre 7 milioni di dollari dalla sua fondazione. Questo investimento rispecchia il nostro impegno a mantenere i massimi livelli di sicurezza e privacy per i nostri clienti.

Eventi come l'H1-4420, oltre a consentire un continuo miglioramento del nostro programma di ricompense per i bug rilevati, ci ricordano la forza della collaborazione e l'impegno collettivo necessari per essere un passo avanti nel panorama della sicurezza informatica. Lavorando in collaborazione con hacker etici di tutto il mondo, possiamo affrontare in modo proattivo le vulnerabilità e creare un ambiente più sicuro per i nostri clienti.

Per avere maggiori informazioni sui nostri sforzi di hacking etico e sulla politica di divulgazione delle vulnerabilità, consulta la pagina del nostro programma di ricompense per i bug rilevati.

Nota dell'editore: questo post sul blog è stato modificato il 31 luglio 2023 per includere le informazioni più aggiornate sul nostro programma di ricompense per i bug rilevati.