Podsumowanie roku: Co nasz program Bug Bounty 2023 oznacza dla bezpieczeństwa Zoom
Program Bug Bounty firmy Zoom zachęca do wykrywania i odpowiedzialnego ujawniania luk w zabezpieczeniach. Oto przegląd najważniejszych wydarzeń minionego roku.
Aktualizacja: April 22, 2024
Opublikowano September 25, 2023
Chociaż Zoom codziennie testuje nasze rozwiązania i infrastrukturę, wiemy, że ważne jest, aby uzupełniać testy o społeczność etycznych hakerów, którzy pomogą zidentyfikować luki w zabezpieczeniach, które mogą być wykrywalne tylko w określonych przypadkach i okolicznościach.
W związku z tym platforma Zoom zainwestowała w wykwalifikowany, globalny zespół badaczy ds. bezpieczeństwa poprzez prywatny program Bug Bounty na platformie HackerOne, która jest wiodącym w branży dostawcą usług rekrutacyjnych i kontaktowych dla profesjonalistów zajmujących się bezpieczeństwem. Prywatne programy Bug Bounty są dostępne wyłącznie na zaproszenie, co pozwala firmom na własnoręczny wybór badaczy ds. bezpieczeństwa na podstawie ich dotychczasowej pracy. HackerOne oblicza statystyki dla każdego badacza na podstawie jego stosunku sygnału do szumu, wpływu na programy, w których brał udział, oraz reputacji, które pomagają zmierzyć, jak istotne i przekładalne na działania będą jego odkrycia.
Platforma Zoom zrekrutowała ponad 800 badaczy ds. bezpieczeństwa na platformie HackerOne. Ich wspólna praca zaowocowała zgłoszeniem wielu błędów i przyznaniem ponad 2,4 miliona dolarów w postaci nagród, swagów i upominków od momentu wprowadzenia programu. Tylko w 2021 roku platforma Zoom przyznała ponad 1,8 miliona dolarów za 401 zgłoszeń. Chcielibyśmy podziękować wszystkim, którzy w odpowiedzialny sposób zgłosili błędy platformie Zoom, a w szczególności następującym badaczom, którzy znaleźli się na naszej liście „Top 10”:
W minionym roku nasz zespół Vulnerability Management and Bug Bounty (VMBB) skupił się na poruszaniu się w konkurencyjnym środowisku rekrutacyjnym i przyciąganiu kolejnych „gwiazd” badań nad bezpieczeństwem do naszego programu poprzez zapewnianie im doskonałych doświadczeń.
Aby przyciągnąć najbardziej utalentowane osoby, ustaliliśmy pięć poniższych zasad, które mają pomóc w prowadzeniu i ulepszaniu naszego programu:
Aby wesprzeć obecnych badaczy i przyciągnąć nowych, platforma Zoom wprowadziła również kilka kluczowych aktualizacji do naszego programu Bug Bounty w 2021 roku. Były one następujące:
W 2021 roku bardzo wiele się nauczyliśmy i bardzo się rozwinęliśmy. Jesteśmy podekscytowani możliwością rozszerzenia tych wysiłków i współpracy z większą liczbą etycznych hakerów w 2022 roku. Jeśli jesteś zainteresowany(-a) pomocą w zwiększeniu bezpieczeństwa platformy Zoom, wyślij wiadomość e-mail z nazwą swojego profilu HackerOne na adres bugbounty@zoom.us lub odwiedź stronę Zoom careers, aby zapoznać się z wolnymi stanowiskami w zespołach Trust i Security. Szczęśliwego hakowania!
Dowiedz się więcej o prywatności Zoom i bezpieczeństwie, wejdź do Trust Center.