Zoom과 고객 보호: 2022년 버그 바운티 프로그램의 성공 사례 살펴보기

우리는 매일 Zoom의 인프라를 테스트하지만, 어쩔 수 없는 취약성은 피하기 어렵다는 것을 잘 알고 있습니다. 그렇기 때문에 지원을 요청합니다. 윤리적 해커 커뮤니티는 때때로 특정 상황에서만 발견되는 버그를 탐지해냅니다.

이것이 바로 Zoom 버그 바운티 프로그램이 숙련되고 유능한 연구원을 모집하는 데 집중하는 이유입니다. 2022년에 Zoom은 연구원들에게 HackerOne 프로그램에 초대하는 특별한 초대장을 보냈습니다. 이는 활동적인 보안 인재를 유치하는 데 중점을 두고 있는 프로그램입니다. 또한 Zoom은 프로그램 밖에서도 인재를 찾기 위해 H1-702와 같은 업계 이벤트를 통한 커뮤니티를 활용했습니다.

이 연구원들은 Zoom을 돕기 위해 열심히 노력합니다. Zoom은 이에 부응하여 성공적으로 제출된 버그 보고서의 공로를 축하하기 위해 노력합니다. 2023 회계연도에 Zoom은 수백 명의 연구원에게 390만 달러의 포상금을 수여했으며, 프로그램이 시작된 이후 지금까지 700만 달러 이상이 포상금으로 수여되었습니다.

외부 연구원은 취약성을 식별하는 것은 물론, Zoom이 또 다른 성과도 이룰 수 있도록 지원해 주었습니다. Zoom은 이러한 보고서를 바탕으로 주의가 필요한 항목을 확인하고, 문제의 근본 원인에 플래그를 지정하고, 부서 간에 동기화할 부분을 개선하고, 문제가 되기 전에 잠재적인 위협을 찾을 수 있었습니다. 그 결과, 지난 2년간 버그 바운티 보고서와 관련한 문제 해결 시간이 크게 단축되었습니다.

올해 초에 Zoom은 팀의 구조를 조정하고 FY24를 위한 프로그램 업데이트를 개발했습니다. 그리고 현재 우리 프로그램에 참여하고 있는 연구원들을 평가하여 모든 연구원이 활동적으로 기여하고 있는지 확인했습니다. 우리는 새해를 순조롭게 출발하기를 바랍니다. 이 모든 것은 수준 높은 유능한 연구원들과 협업하는 것에서 시작됩니다.

Zoom의 버그 바운티 프로그램에서는 연구원들이 더욱 최선을 다할 수 있도록 지원하기 위해 새로운 취약성 영향 점수 시스템도 구현하고 있습니다. Zoom은 업계 표준 공통 취약성 점수 시스템(CVSS)을 계속 사용하여 보고서의 점수를 매기는 한편, Zoom 인프라, 기술, 고객 데이터의 보안과 관련하여 보고된 각 취약성에 대한 영향의 13가지 측면을 분석하는 취약성 영향 점수 시스템(VISS)이라는 동반 점수 시스템을 추가하기 위해 프로그램을 개발하고 있습니다. 버그 바운티에서는 VISS를 구현하여 악용에 대한 이론적인 가능성보다는 틀림없이 입증된 영향을 측정하는 데 더 집중할 수 있습니다.

작년에 Zoom 버그 바운티 프로그램이 성장하면서 Zoom은 프로세스, 바운티 포상, 테스트 범위를 계속해서 발전 및 발달시키고 있습니다. 새로운 점수 시스템의 성과와 2023년에 연구원들이 수행할 모든 업적이 기대됩니다.

Zoom을 더욱 안전하게 만드는 데 관심이 있다면 HackerOne 프로필 이름을 bugbounty@zoom.us로 이메일 보내거나 Zoom 채용 정보 페이지를 방문하여 신뢰 및 보안 팀 내의 구직 중인 자리를 검토하세요. 행복한 해킹하세요!

Zoom의 개인정보 처리방침과 보안에 대해 더 자세히 알아보시려면 Trust Center를 방문해 주세요.