Codziennie testujemy w Zoom naszą infrastrukturę, ale zdajemy sobie sprawę, że nie jesteśmy całkowicie odporni na luki w zabezpieczeniach. Wzywamy więc wsparcie — społeczności etycznych hakerów udaje się czasem wykryć błędy, które można wykryć tylko w określonych okolicznościach.
Właśnie dlatego nasz program Bug Bounty skupia się na rekrutacji wykwalifikowanych, skutecznych badaczy. W 2022 roku wysłaliśmy do badaczy dodatkowe zaproszenia, aby przyłączyli się do naszego programu HackerOne koncentrującego się na przyciąganiu aktywnych talentów w dziedzinie bezpieczeństwa. Lubimy też wychodzić poza nasz program, aby znaleźć badaczy, więc nawiązaliśmy współpracę ze społecznością hakerów poprzez wydarzenia branżowe, takie jak H1-702.
Ci badacze ciężko pracują, aby nam pomóc, dlatego staramy się odpowiednio nagradzać zgłoszenia błędów. W roku finansowym 2023 przyznaliśmy setkom badaczy nagrody w wysokości 3,9 mln dolarów i ponad 7 mln dolarów od początku istnienia programu.
Poza identyfikacją luk w zabezpieczeniach wsparcie zewnętrznych badaczy pomogło nam w Zoom osiągnąć inne postępy. Wykorzystaliśmy te zgłoszenia, aby znaleźć elementy wymagające uwagi, wskazać główne przyczyny problemów, stworzyć lepsze dopasowanie między funkcjami i znaleźć potencjalne zagrożenia, zanim staną się one problemem. W efekcie nasz czas rozwiązywania błędów zgłaszanych w ramach programu Bug Bounty znacznie się skrócił w ciągu ostatnich dwóch lat.