Zoom en onze klanten beschermen: een blik op het succes van ons Bug Bounty-programma in 2022

Bij Zoom testen we onze infrastructuur elke dag, maar we weten dat we niet immuun zijn voor aanvallen op de rand. Om die reden schakelen we hulptroepen in: de community van ethische hackers kan soms bugs opsporen die alleen in bepaalde omstandigheden kunnen worden ontdekt.

Daarom richt ons Bug Bounty-programma zich op het werven van bekwame, effectieve onderzoekers. In 2022 stuurden we extra uitnodigingen aan onderzoekers om deel te nemen aan ons HackerOne-programma, waarbij de nadruk lag op het aantrekken van actief beveiligingstalent. We zoeken ook graag buiten ons programma naar talent, dus schakelen we de community in via branche-evenementen, zoals H1-702.

Deze onderzoekers werken hard om ons te helpen, dus streven we ernaar om zo succesvolle rapportages op te stellen. In het boekjaar 2023 hebben we 3,9 miljoen USD aan premies toegekend aan honderden onderzoekers, en tot nu toe meer dan 7 miljoen USD sinds de start van het programma.

Naast het opsporen van kwetsbaarheden heeft de steun van externe onderzoekers ons geholpen om andere vormen van vooruitgang te boeken bij Zoom. We hebben deze rapporten gebruikt om aandachtspunten aan te tonen, oorzaken van problemen aan te wijzen, een betere afstemming tussen de verschillende functies mogelijk te maken en potentiële bedreigingen op te sporen voordat ze een probleem vormden. Als gevolg daarvan is onze tijd om tot een oplossing te komen voor Bug Bounty-rapporten de afgelopen twee jaar aanzienlijk verbeterd.

Begin dit jaar hebben we ons team geherstructureerd en updates voor het programma ontwikkeld voor boekjaar 2024. We hebben de onderzoekers geëvalueerd die momenteel bij ons programma zijn aangesloten om er zeker van te zijn dat iedereen actief aan de slag is en een bijdrage levert. We willen in het nieuwe jaar de juiste toon zetten. Dat begint allemaal door met hoogstaande, effectieve onderzoekers samen te werken.

Het Bug Bounty-programma van Zoom implementeert ook een gloednieuw scoresysteem voor de impact van kwetsbaarheden om onderzoekers te helpen hun beste prestaties tot nu toe te leveren. Hoewel we het standaard Common Vulnerability Scoring System (CVSS) blijven gebruiken om rapporten te beoordelen, breiden we ons programma uit met een aanvullend scoresysteem, het Vulnerability Impact Scoring System (VISS). Dat systeem analyseert dertien verschillende aspecten van impact voor elke gemelde kwetsbaarheid wat betreft de Zoom-infrastructuur, technologie en beveiliging van klantgegevens. Met de implementatie van VISS kan het Bug Bounty-programma zich meer richten op het meten van verantwoord aangetoonde impact dan op de theoretische mogelijkheid van uitbuiting.

Terwijl het Bug Bounty-programma van Zoom het afgelopen jaar is gegroeid, blijven we onze processen, bounty-beloningen en testbereik ontwikkelen en verfijnen. We zijn erg benieuwd naar het effect van ons nieuwe scoresysteem en al het goede dat onze onderzoekers in 2023 kunnen doen.

Als je geïnteresseerd bent om te helpen Zoom veiliger te maken, stuur dan een e-mail met je HackerOne-profielnaam naar bugbounty@zoom.us of bezoek de pagina met carrières bij Zoom om de openstaande vacatures binnen de Trust- en Security-teams te bekijken. Veel plezier met hacken!

Ga voor meer informatie over privacy en -beveiliging bij Zoom naar ons Vertrouwenscentrum.