Podsumowanie roku: Co nasz program Bug Bounty 2023 oznacza dla bezpieczeństwa Zoom

Bezpieczeństwo w Zoom jest stałym priorytetem i ciągle inwestujemy w nie poprzez różnorodne programy i inicjatywy. Program Zoom Bug Bounty jest jedną z takich inicjatyw mających na celu zwiększenie bezpieczeństwa online i stanowi doskonały przykład współpracy, innowacji i ciągłego doskonalenia, które obejmują całą społeczność Zoom. Od 2019 roku aktywnie współpracujemy ze społecznością badaczy, a teraz z radością ogłaszamy, że przyznaliśmy ponad 10 milionów dolarów w nagrodach za luki wykryte w naszych zabezpieczeniach, aby wzmocnić obronę Zoom oraz chronić prywatność i bezpieczeństwo naszych użytkowników. 

Program Bug Bounty realizowany przez Zoom ma na celu zachęcanie do odkrywania i odpowiedzialnego ujawniania luk w zabezpieczeniach. W ciągu ostatnich dwóch lat wdrożyliśmy usprawniony proces, aby zapewnić szybkie reakcje i odpowiedzi na wszystkie zgłoszenia dotyczące bezpieczeństwa. Gdy błąd zostanie wykryty i przesłany przez jednego z  ponad 800  naszych badaczy, nasz zespół ds. bezpieczeństwa przeanalizuje raport, odtworzy proces i prześle zgłoszenie do odpowiedniego wewnętrznego zespołu programistów w celu naprawy, średnio w ciągu zaledwie kilku godzin. 

W ciągu ostatnich ponad 3 lat funkcjonowania programu firma Zoom obniżała koszt na jeden raport, jednocześnie zwiększając identyfikację luk w zabezpieczeniach, co ma wymierny wpływ na naszą platformę. W zaledwie trzy lata obniżyliśmy koszt ważnego zgłoszenia o 40% i zaobserwowaliśmy ponad dwukrotnie więcej zgłoszeń.

VISS

W styczniu 2023 r. zespół Bug Bounty zobowiązał się do zbudowania, udoskonalenia i udostępnienia innowacyjnego nowego mechanizmu mierzenia rzeczywistego wpływu wykorzystania luki w zabezpieczeniach na system. Wynikiem tego wspólnego wysiłku było marcowe wdrożenie systemu oceny podatności na atak (Vulnerability Impact Scoring System, VISS), który udostępniliśmy na licencji open source w serwisie Github. 

Firma Zoom korzysta z VISS od ponad roku i zaobserwowała rosnące zainteresowanie ze strony innych zespołów wyszukujących luki w zabezpieczeniach, które szukają bardziej obiektywnej miary wpływu podatności na ataki. Do tej pory współpraca i opinie na temat VISS były pozytywne. Badacze bezpieczeństwa również przekazują informacje zwrotne, co zwiększa współpracę i koncentrację VISS oraz przejrzyste podejście Zoom do zarządzania nagrodami za wykrycie błędów.

— VISS pozwala nam dostosować pracę badaczy bezpieczeństwa tak, abyśmy mogli skupić się na rzeczach, które są najważniejsze, które mają najwyższy poziom wpływu, i odpowiednio ukierunkować nasze wypłaty — wyjaśnia Michael Adams, dyrektor ds. bezpieczeństwa informatycznego w Zoom. — Nie tylko chcę odpowiednio płacić, ale chcę odpowiednio motywować, a jeśli nie mogę zapewnić jasności w moim systemie punktacji, trudno jest to zrozumieć. Teraz jesteśmy w stanie zapewnić pewien stopień przejrzystości — mówi Adams.

Aby zagłębić się w szczegóły i wypróbować kalkulator VISS w Zoom, zapoznaj się z pełną specyfikacją VISS.

HackerOne

Z wielką radością zostaliśmy również sponsorem tegorocznego wydarzenia HackerOne H1-4420, które odbyło się 22 czerwca 2023 r. w CodeNode w Londynie. Wydarzenie to dało nam nieocenioną okazję do współpracy z ponad 90 najbardziej utalentowanymi etycznymi hakerami z 41 krajów, którzy wspólnie pracują nad zwiększeniem bezpieczeństwa platformy Zoom. Aktywnie angażując się w tę społeczność, możemy nie tylko ograniczać ryzyko, ale także wspierać innowacje i stale ulepszać nasze usługi. Oto podsumowanie wydarzenia.

Narody Bug Bounty

Rok 2023 był dla nas wielkim rokiem, ponieważ dokonaliśmy wypłat nagród za wykryte błędy w wysokości ponad 2,4 miliona dolarów za ponad 1000 oddzielnych ważnych raportów przesłanych przez ponad 200 różnych badaczy bezpieczeństwa. To podniosło łączną sumę nagród za błędy do ponad 10 milionów dolarów.

Ponieważ sztuczna inteligencja i uczenie maszynowe są coraz ściślej zintegrowane z produktami Zoom, zespół Zoom Bug Bounty był zajęty współpracą z wieloma naszymi najlepszymi badaczami w celu zidentyfikowania luk w zabezpieczeniach. Rozwój generatywnej sztucznej inteligencji wprowadza nowe zagrożenia dla bezpieczeństwa i prywatności, w tym dezinformację, zatruwanie danych i  ich eksfiltrację. Korzystając z funkcji kampanii w ramach naszych programów VIP, platforma HackerOne zapewnia całą moc obliczeniową zaplecza, której Zoom potrzebuje, aby prowadzić znaczącą, dwukierunkową współpracę z badaczami. 

Oprócz skupienia się na sztucznej inteligencji mamy solidny zestaw funkcji, które mają zostać udostępnione w tym roku w ramach naszego planu na rok 2024 . Mając to na uwadze, z niecierpliwością czekamy na falę nowych zgłoszeń w ramach naszej promocji „Spring BREAKAGE”, która rozpoczęła się 1 kwietnia 2024 r. i potrwa przez cały kwiecień. Do zakresu testów dodano kilka nowych funkcji, a nagrody za tę promocję zostały zwiększone.

Jeśli chcesz pomóc w zwiększeniu bezpieczeństwa platformy Zoom, wyślij wiadomość e-mail z nazwą swojego profilu HackerOne na adres bugbounty@zoom.us lub odwiedź stronę karier Zoom, aby zapoznać się z wolnymi stanowiskami w zespole ds. zaufania i bezpieczeństwa. Owocnego hakowania!

Aby dowiedzieć się więcej o prywatności i bezpieczeństwie w Zoom, odwiedź nasze Centrum zaufania. Znalazłeś(-aś) błąd? Zgłoś lukę w zabezpieczeniach tutaj.