미래의 보안: H1-4420 이벤트에서 함께하는 Zoom과 HackerOne

41개 이상 국가에서 90명 이상의 보안 전문가들이 직접 또는 가상 참여 방식을 통해 H1-4420 이벤트에 함께했습니다. 이러한 숙련된 해커들은 현미경 위에 올려놓고 분석하듯이 Zoom Mail 및 Calendar부터 Zoom AI Companion까지 다양한 Zoom 플랫폼 제품의 잠재적인 취약성을 찾았습니다. 이러한 노력은 제품 발전과 고객 보호에 필요한 귀중한 자양분이 됩니다. Zoom은 이들의 기여에 깊은 감사의 말을 전합니다.

H1-4420의 바운티 지급 및 기타 부문에서 최고 성과자는 다음과 같습니다.

1위, Exterminator: cache-money

2위, Vigilante: f6x

최고 협업상: tomanthony, todayisnew, hx01 및 shubs.

Zoom은 이러한 전문가들의 윤리적 해킹 전략 활동을 축하하고 지원할 수 있는 기회를 갖게 되어 자랑스럽게 생각합니다. 

H1-4420 참여 해커들은 기존의 공통 취약성 채점 시스템(CVSS) 접근 방식 그리고 Zoom의 새로운 취약성 영향 채점 시스템(VISS)을 모두 활용하는 고급 버그 평가 프로세스를 거쳤습니다. VISS에서 Zoom은 표면 수준의 분석을 넘어 Zoom 플랫폼에 대한 각 버그의 입증된 영향을 평가했습니다.

버그 바운티 프로그램에 VISS를 통합함으로써 리소스를 효율적으로 할당하고 가장 중요한 취약성에 집중할 수 있도록 지원합니다. 이러한 사전 예방적인 접근 방식은 전반적인 보안 태세를 강화하여 소중한 고객을 위해 안전한 보안 환경을 보장할 수 있도록 지원합니다. Zoom은 VISS 구현을 통해 보안 방식과 고객 신뢰를 강화하고자 노력합니다. Zoom은 포괄적인 보안 방침을 추구하고 있으며, 선제적으로 사용자를 보호할 수 있도록 노력하고 있습니다.

올해 이벤트에서 Zoom은 또한 참가자들이 풀어야 할 추가적인 퍼즐로 3개의 '이스터 에그'를 준비했습니다. 각 3개의 퍼즐에는 서로 다른 유형의 악용을 통해 각 알고리즘을 파괴하는 과정이 포함되었습니다. 한 가지 예시로 'rez0'라는 해커는 AI 툴을 사용해서 새로운 단어 목록을 생성하여 무차별 암호 대입 공격 방식으로 퍼즐을 해결하려고 했습니다. 취약성을 검색하고 악용할 때 효율성을 높이기 위해 AI 툴을 사용하는 해커가 점점 더 증가하고 있습니다.

이 이벤트 기간 내내 해킹과 사이버 보안에 대한 논의만 진행된 것은 아닙니다. 우리는 참가자들에게 즐겁고 편안한 분위기를 제공하기 위해 노력했습니다. HackerOne은 해커들이 자신의 집으로 엽서를 보낼 수 있는 맞춤형 우체국을 준비해서 잠시 작업을 멈추고 즐겁게 휴식을 취할 수 있도록 했습니다. 또한 해커들이 창의성을 발휘하고 예술적인 표현을 즐길 수 있도록 컬러링 벽을 준비했습니다. Zoom은 균형적이고 즐거운 환경에서 협업이 개선되고 새로운 아이디어가 나올 수 있다고 믿습니다.

지난 회계연도에 Zoom은 수백 명의 연구원들에게 바운티로 390만 달러를 수여했으며 지금까지 버그 바운티 프로그램으로 수여된 총 금액이 700만 달러를 넘었습니다. 이러한 투자는 최고 수준의 고객 보안 및 개인정보 보호를 유지하기 위한 당사의 노력을 반영합니다.

버그 바운티 프로그램의 지속적인 발전 외에도 H1-4420과 같은 이벤트는 사이버 보안 환경에서 앞서 나가기 위해 필요한 협업과 집단적인 노력의 중요성을 상기시켜 줍니다. 전 세계 윤리적 해커들과 함께 협력함으로써 Zoom은 취약성을 사전에 해결하고 고객을 위해 더 안전한 환경을 만들 수 있습니다.

윤리적 해킹 노력과 취약성 공개 정책에 대해 자세히 알아보려면 버그 바운티 프로그램 페이지를 참조하세요.

편집자 주: 이 블로그 게시글은 2023년 7월 31일에 버그 바운티 프로그램에 대한 최신 정보를 추가하여 편집되었습니다.