Program Bug Bounty Zoom: przegląd 2021 roku

Chociaż Zoom codziennie testuje nasze rozwiązania i infrastrukturę, wiemy, że ważne jest, aby uzupełniać testy o społeczność etycznych hakerów, którzy pomogą zidentyfikować luki w zabezpieczeniach, które mogą być wykrywalne tylko w określonych przypadkach i okolicznościach.

W związku z tym platforma Zoom zainwestowała w wykwalifikowany, globalny zespół badaczy ds. bezpieczeństwa poprzez prywatny program Bug Bounty na platformie HackerOne, która jest wiodącym w branży dostawcą usług rekrutacyjnych i kontaktowych dla profesjonalistów zajmujących się bezpieczeństwem. Prywatne programy Bug Bounty są dostępne wyłącznie na zaproszenie, co pozwala firmom na własnoręczny wybór badaczy ds. bezpieczeństwa na podstawie ich dotychczasowej pracy. HackerOne oblicza statystyki dla każdego badacza na podstawie jego stosunku sygnału do szumu, wpływu na programy, w których brał udział, oraz reputacji, które pomagają zmierzyć, jak istotne i przekładalne na działania będą jego odkrycia.  

Platforma Zoom zrekrutowała ponad 800 badaczy ds. bezpieczeństwa na platformie HackerOne. Ich wspólna praca zaowocowała zgłoszeniem wielu błędów i przyznaniem ponad 2,4 miliona dolarów w postaci nagród, swagów i upominków od momentu wprowadzenia programu. Tylko w 2021 roku platforma Zoom przyznała ponad 1,8 miliona dolarów za 401 zgłoszeń. Chcielibyśmy podziękować wszystkim, którzy w odpowiedzialny sposób zgłosili błędy platformie Zoom, a w szczególności następującym badaczom, którzy znaleźli się na naszej liście „Top 10”:

W minionym roku nasz zespół Vulnerability Management and Bug Bounty (VMBB) skupił się na poruszaniu się w konkurencyjnym środowisku rekrutacyjnym i przyciąganiu kolejnych „gwiazd” badań nad bezpieczeństwem do naszego programu poprzez zapewnianie im doskonałych doświadczeń.

Aby przyciągnąć najbardziej utalentowane osoby, ustaliliśmy pięć poniższych zasad, które mają pomóc w prowadzeniu i ulepszaniu naszego programu:

• Jasne i zwięzłe zasady programu, które określają, jakie rodzaje testów są dozwolone, szczegóły dotyczące polityki „bezpiecznej przystani” programu oraz zestaw potencjalnych nagród za określone rodzaje raportów o lukach w zabezpieczeniach.
  
• Konsekwentne zwiększanie powierzchni ataku, znanej również jako „zakres” programu Bug Bounty, oraz jasne definiowanie tego, co jest poza zakresem lub poza limitem.
  
• Minimalizowanie ram czasowych reakcji na program, naprawiania błędów i wypłat. Nikt nie lubi czekać, aż zostanie wysłuchany lub otrzyma zapłatę za swoją pracę — dotyczy to również etycznych hakerów.
  
• Profesjonalne relacje i bezpośredni kontakt z pracownikami platformy Zoom, którzy zarządzają programem Bug Bounty, sprawdzają zgłoszenia i ustalają wysokość nagród.
  
• Konkurencyjne nagrody, które dokładnie odzwierciedlają pracę wykonaną przez badaczy oraz skalę skutków, jakie może mieć wykorzystanie luki w zabezpieczeniach.

Aby wesprzeć obecnych badaczy i przyciągnąć nowych, platforma Zoom wprowadziła również kilka kluczowych aktualizacji do naszego programu Bug Bounty w 2021 roku. Były one następujące:

• Odeszliśmy od statycznego przedziału nagród opartego wyłącznie na skali skutków zgłoszonej luki i wprowadziliśmy „Menu nagród”. Menu to zapewnia badaczom konkretne kwoty nagród w zależności od rodzaju znalezionej luki i jej wpływu na użytkowników oraz infrastrukturę platformy Zoom. W styczniu 2021 roku platforma Zoom podniosła górną granicę tabeli nagród do 50 000 USD za pojedyncze zgłoszenie oraz dolną granicę do 250 USD.

• Uruchomiliśmy publiczny Program Ujawniania Luk w Zabezpieczeniach (VDP), dzięki któremu każdy, a nie tylko uznani badacze ds. bezpieczeństwa, może zgłaszać luki firmie Zoom. Usprawniło to przyjmowanie zgłoszeń i pozwoliło odpowiednim zespołom w Zoom szybko się zaangażować, co ostatecznie prowadzi do szybszego usuwania błędów i zwiększenia bezpieczeństwa produktu.

• W październiku 2021 roku uruchomiliśmy nasz program VIP Bug Bounty. Program ten koncentruje się na licencjonowanych wersjach rozwiązań Zoom i rozszerzył zakres testów bezpieczeństwa.
  
• Przez cały 2021 rok zespół Zoom VMBB koncentrował się na skróceniu czasu reakcji wstępnej, selekcji, usuwania błędów oraz wypłaty nagród. Nasze obecne wskaźniki pokazują, że średni czas reakcji wstępnej wynosi nieco poniżej czterech godzin, podczas gdy pełna eliminacja zgłoszeń trwa zazwyczaj mniej niż 48 godzin. Wypłaty nagród są omawiane i weryfikowane przez zespół co tydzień, co oznacza, że nagrody są zazwyczaj wypłacane w ciągu 14 dni od zgłoszenia.

• Aby pomóc w nawiązaniu stałych relacji z naszymi badaczami, platforma Zoom zorganizowała kilka spotkań z badaczami z całego świata. Społeczność etycznych hakerów jest niezwykle zróżnicowana, począwszy od studentów i profesorów, przez utalentowanych nastolatków dopiero uczących się hakowania, po zwykłych użytkowników platformy Zoom, którzy „zauważyli coś dziwnego”.

W 2021 roku bardzo wiele się nauczyliśmy i bardzo się rozwinęliśmy. Jesteśmy podekscytowani możliwością rozszerzenia tych wysiłków i współpracy z większą liczbą etycznych hakerów w 2022 roku. Jeśli jesteś zainteresowany(-a) pomocą w zwiększeniu bezpieczeństwa platformy Zoom, wyślij wiadomość e-mail z nazwą swojego profilu HackerOne na adres bugbounty@zoom.us lub odwiedź stronę Zoom careers, aby zapoznać się z wolnymi stanowiskami w zespołach Trust i Security. Szczęśliwego hakowania!

Dowiedz się więcej o prywatności Zoom i bezpieczeństwie, wejdź do Trust Center.