Podsumowanie roku: Co nasz program Bug Bounty 2023 oznacza dla bezpieczeństwa Zoom
Program Bug Bounty firmy Zoom zachęca do wykrywania i odpowiedzialnego ujawniania luk w zabezpieczeniach. Oto przegląd najważniejszych wydarzeń minionego roku.
Aktualizacja: March 19, 2023
Opublikowano March 20, 2023
Codziennie testujemy w Zoom naszą infrastrukturę, ale zdajemy sobie sprawę, że nie jesteśmy całkowicie odporni na luki w zabezpieczeniach. Wzywamy więc wsparcie — społeczności etycznych hakerów udaje się czasem wykryć błędy, które można wykryć tylko w określonych okolicznościach.
Właśnie dlatego nasz program Bug Bounty skupia się na rekrutacji wykwalifikowanych, skutecznych badaczy. W 2022 roku wysłaliśmy do badaczy dodatkowe zaproszenia, aby przyłączyli się do naszego programu HackerOne koncentrującego się na przyciąganiu aktywnych talentów w dziedzinie bezpieczeństwa. Lubimy też wychodzić poza nasz program, aby znaleźć badaczy, więc nawiązaliśmy współpracę ze społecznością hakerów poprzez wydarzenia branżowe, takie jak H1-702.
Ci badacze ciężko pracują, aby nam pomóc, dlatego staramy się odpowiednio nagradzać zgłoszenia błędów. W roku finansowym 2023 przyznaliśmy setkom badaczy nagrody w wysokości 3,9 mln dolarów i ponad 7 mln dolarów od początku istnienia programu.
Poza identyfikacją luk w zabezpieczeniach wsparcie zewnętrznych badaczy pomogło nam w Zoom osiągnąć inne postępy. Wykorzystaliśmy te zgłoszenia, aby znaleźć elementy wymagające uwagi, wskazać główne przyczyny problemów, stworzyć lepsze dopasowanie między funkcjami i znaleźć potencjalne zagrożenia, zanim staną się one problemem. W efekcie nasz czas rozwiązywania błędów zgłaszanych w ramach programu Bug Bounty znacznie się skrócił w ciągu ostatnich dwóch lat.
Na początku tego roku zrestrukturyzowaliśmy nasz zespół i opracowaliśmy aktualizacje programu na rok finansowy 2024. Oceniliśmy badaczy, którzy obecnie współpracują z nami w ramach programu, aby upewnić się, że wszyscy są aktywni. Chcemy wejść w nowy rok z odpowiednią energią, a wszystko to zaczyna się od współpracy z wysokiej klasy, skutecznymi badaczami.
Program Zoom Bug Bounty wdraża również zupełnie nowy system oceniania wpływu luk w zabezpieczeniach, aby jeszcze bardziej pomóc badaczom w ich pracy. Chociaż nadal będziemy korzystać ze standardowego w branży systemu oceny podatności na ataki (CVSS) do oceniania zgłoszeń, rozwijamy nasz program, dodając towarzyszący system oceny wpływu podatności na ataki (Vulnerability Impact Scoring System, VISS), który analizuje 13 różnych aspektów wpływu każdej zgłoszonej luki w zabezpieczeniach na infrastrukturę Zoom, technologię i bezpieczeństwo danych klientów. Dzięki wdrożeniu VISS program Bug Bounty może bardziej skupić się na mierzeniu wpływu błędów niż na teoretycznej możliwości ich wykorzystania.
Chociaż program Zoom Bug Bounty rozrósł się w ciągu ostatniego roku, nadal rozwijamy i doskonalimy nasze procesy, nagrody i zakres testów. Jesteśmy bardzo ciekawi wpływu naszego nowego systemu oceny i wszystkiego, co nasi badacze mogą osiągnąć w 2023 roku.
Jeśli jesteś zainteresowany(-a) pomocą w zwiększeniu bezpieczeństwa platformy Zoom, wyślij wiadomość e-mail z nazwą swojego profilu HackerOne na adres bugbounty@zoom.us lub odwiedź stronę karier Zoom, aby zapoznać się z wolnymi stanowiskami w zespołach Trust i Security. Szczęśliwego hakowania!
Dowiedz się więcej o prywatności Zoom i bezpieczeństwie, wejdź do Trust Center.