Jaaroverzicht: dit betekent ons Bug Bounty-programma van 2023 voor de beveiliging van Zoom

Zoom focust constant op beveiliging en we blijven erin investeren via diverse programma's en initiatieven. Eén van deze initiatieven is het Zoom Bug Bounty-programma voor verbetering van de onlinebeveiliging. Het is een perfect voorbeeld van de samenwerking, innovatie en continue verbetering binnen de hele Zoom-gemeenschap. Sinds 2019 werken we actief samen met de onderzoeksgemeenschap en nu kunnen we aankondigen dat we meer dan $ 10 miljoen aan bug bounty-betalingen hebben toegekend om de verdediging van Zoom te versterken en de privacy en beveiliging van onze gebruikers te beschermen. 

Het Bug Bounty-programma van Zoom is ontworpen om de ontdekking en verantwoorde openbaarmaking van beveiligingsproblemen te bevorderen. De afgelopen twee jaar hebben we een gestroomlijnd proces geïmplementeerd om ervoor te zorgen dat er op elk beveiligingsrapport snel wordt gereageerd. Zodra een fout is gedetecteerd en ingezonden door een van onze meer dan 800 onderzoekers, zal ons beveiligingsteam het rapport laten analyseren, reproduceren en bezorgen aan het juiste interne ontwikkelingsteam voor een oplossing. Dit alles gebeurt gemiddeld in slechts enkele uren. 

In de afgelopen 3+ jaar heeft Zoom de kosten per rapport voor de werking van het programma verlaagd. Tegelijkertijd hebben we gewerkt aan een betere identificatie van kwetsbaarheden die een tastbare impact hebben op ons platform. In slechts drie jaar hebben we de kosten per geldig rapport met 40% verlaagd en is het aantal gerapporteerde inzendingen verdubbeld.

VISS

In januari 2023 heeft het Bug Bounty-team zich toegewijd aan het bouwen, verfijnen en uitbrengen van een innovatief nieuw mechanisme om de werkelijke impact van misbruik van een kwetsbaarheid op een systeem te meten. Deze gezamenlijke inspanning leidde in maart tot de implementatie van het Vulnerability Impact Scoring System, of VISS, dat als open source beschikbaar is op Github. 

Zoom maakt al meer dan een jaar gebruik van VISS en heeft een groeiende belangstelling gezien bij andere bug bounty-teams die op zoek zijn naar een objectievere maatstaf voor de impact van kwetsbaarheden. Tot op heden is de samenwerking en feedback over VISS positief. Beveiligingsonderzoekers geven ook feedback, wat de samenwerking en focus van VISS en de transparante benadering van Zoom op het gebied van bug bounty-beheer ten goede komt.

"Dankzij VISS kunnen we het werk van beveiligingsonderzoekers zo aanpassen dat we ons concentreren op de zaken die het belangrijkst zijn en de grootste impact hebben. Vervolgens worden onze uitbetalingen daarop afgestemd", aldus Michael Adams, CISO van Zoom. "Ik wil niet alleen dienovereenkomstig betalen, maar ik wil ook dienovereenkomstig stimuleren, en als ik geen duidelijkheid kan bieden binnen mijn scoresysteem, is dat moeilijk te begrijpen voor hen. We kunnen nu een zekere mate van duidelijkheid bieden", zegt Adams.

Bekijk de volledige VISS-specificatie voor meer informatie en om de Zoom-implementatie van de VISS-calculator uit te proberen.

HackerOne

We waren ook verheugd om dit jaar sponsor te zijn van het HackerOne H1-4420-evenement, dat plaatsvond op 22 juni 2023 in CodeNode in Londen. Dit evenement bood ons een geweldige kans om samen te werken met meer dan 90 van de meest getalenteerde ethische hackers uit 41 landen, die zich allemaal inzetten om de beveiliging van het Zoom-platform te verbeteren. Door actief samen te werken met deze gemeenschap kunnen we niet alleen risico's beperken, maar ook innovatie bevorderen en onze diensten voortdurend verbeteren. Hier vind je een samenvatting van het evenement.

Bug bounty-beloningen

2023 was een belangrijk jaar voor ons, aangezien we voor meer dan $ 2,4 miljoen aan bug bounty-beloningen hebben betaald voor meer dan 1000 afzonderlijke geldige rapporten ingezonden door meer dan 200 verschillende beveiligingsonderzoekers. Dit bracht het totaal van de bug bounty-beloningen op meer dan $ 10 miljoen.

Omdat kunstmatige intelligentie en machine learning nu meer zijn geïntegreerd in Zoom-producten, is het Zoom Bug Bounty-team samen met veel van onze toponderzoekers druk bezig geweest met het identificeren van kwetsbaarheden. De opkomst van generatieve AI brengt nieuwe beveiligings- en privacyrisico's met zich mee, waaronder desinformatie, gegevensvergiftiging en gegevensexfiltratie. Door gebruik te maken van de functionaliteit 'Campagnes' binnen onze VIP-programma's, biedt het HackerOne-platform alle backend-verwerkingskracht die Zoom nodig heeft om zinvolle, bidirectionele samenwerkingen met onderzoekers aan te gaan. 

Naast onze focus op AI hebben we de release van een robuuste reeks functies dit jaar als onderdeel van onze roadmap voor 2024. Met dit in gedachten kijken we uit naar een golf van nieuwe rapportinzendingen voor onze 'Spring BREAKAGE'-promotie, die op 1 april 2024 begon en de hele maand april loopt. Voor deze promotie zijn verschillende nieuwe functies toegevoegd aan het testbereik en zijn de premies verhoogd.

Als je wilt helpen om Zoom veiliger te maken, stuur dan een e-mail met je HackerOne-profielnaam naar bugbounty@zoom.us of bezoek de carrièrepagina van Zoom om de openstaande vacatures binnen de Trust- en Security-teams te bekijken. Succes met het hacken!

Ga voor meer informatie over de privacy en beveiliging van Zoom naar ons Vertrouwenscentrum. Heb je een fout gevonden? Dien hier een probleem met een beveiligingslek in.