Bezpieczna przyszłość: Zoom z HackerOne na H1-4420

Bezpieczeństwo i prywatność to dla Zoom nie tylko modne hasła — są częścią naszej kultury i kluczowych inicjatyw. Wiemy, że w stale zmieniającym się krajobrazie cyberbezpieczeństwa trzeba starać się wyprzedzać potencjalne zagrożenia. Właśnie dlatego wykorzystujemy wiedzę społeczności etycznych hakerów, aby pomóc zidentyfikować i usunąć luki w zabezpieczeniach, zanim będą mogły zostać wykorzystane przez osoby podejmujące złośliwe działania. Jednym ze sposobów osiągnięcia tego celu jest nasza współpraca z HackerOne i udział w ich wydarzeniach hakerskich na żywo.

Z przyjemnością zostaliśmy sponsorem tegorocznego wydarzenia H1-4420 organizowanego przez HackerOne, które odbyło się 22 czerwca 2023 r. w CodeNode w Londynie. Wydarzenie to zapewniło nam nieocenioną okazję do współpracy z najbardziej utalentowanymi, etycznymi hakerami z całego świata, którzy wspólnie pracują nad poprawą bezpieczeństwa platformy Zoom. Poprzez aktywne uczestnictwo w tej społeczności możemy nie tylko ograniczać ryzyko, ale także wspierać innowacje i stale ulepszać nasze usługi.

Wydarzenie H1-4420 zgromadziło ponad 90 specjalistów w zakresie bezpieczeństwa z ponad 41 krajów, uczestniczących zarówno osobiście, jak i wirtualnie. Ci utalentowani hakerzy przyjrzeli się platformie Zoom w poszukiwaniu potencjalnych luk w zabezpieczeniach różnych produktów, od Zoom Mail i Zoom Calendar po Zoom AI Companion. Ich wysiłki zapewniają nieocenione wsparcie i pomagają nam rozwijać nasze produkty oraz lepiej chronić naszych klientów. Jesteśmy niezmiernie wdzięczni za cały ich wkład i zaangażowanie.

Liderzy rankingów H1-4420 w zakresie wypłat nagród i innych kategorii to m.in.:

Pierwsze miejsce i tytuł Eksterminatora: cache-money

Drugie miejsce i tytuł Samozwańczego stróża prawa: f6x

Najlepsza współpraca: tomanthony, todayisnew, hx01 oraz shubs.

Jesteśmy dumni z tego, że mogliśmy wesprzeć HackerOne w świętowaniu i promowaniu strategicznego, etycznego hakowania tych osób.

Hakerzy biorący udział w H1-4420 realizowali zaawansowany proces oceny błędów, który wykorzystywał zarówno konwencjonalne podejście oceny podatności na ataki (Common Vulnerability Scoring System, CVSS), jak i nowy system oceny wpływu podatności na ataki (Vulnerability Impact Scoring, VISS) firmy Zoom. Dzięki wdrożeniu VISS wykroczyliśmy poza powierzchowną analizę i możemy oceniać wykazany wpływ każdego błędu na platformę Zoom.

Poprzez włączenie VISS do naszego programu Bug Bounty umożliwiamy naszemu zespołowi wydajną alokację zasobów i skupienie się na najbardziej krytycznych lukach w zabezpieczeniach. To proaktywne podejście poprawia nasz ogólny poziom bezpieczeństwa i pomaga zapewnić bezpieczne środowisko dla naszych cenionych klientów. Wprowadzenie VISS stanowi widoczny przykład zaangażowania Zoom w rzetelne praktyki bezpieczeństwa i budowanie zaufania wśród naszych klientów, ponieważ nieustannie staramy się przodować w ciągłym dążeniu do tworzenia kompleksowych środków bezpieczeństwa.

Na tegoroczne wydarzenie firma Zoom stworzyła również trzy „Easter eggs” jako dodatkowe łamigłówki do rozwiązania przez uczestników. Każda z trzech łamigłówek polegała na złamaniu różnych algorytmów szyfrowania za pomocą różnych metod. Przykładowo haker o przydomku „rez0” użył narzędzia SI do wygenerowania nowych list słów, aby skuteczniej rozwiązać łamigłówkę metodą brutalnej siły. Cały czas obserwujemy, jak hakerzy wykorzystują narzędzia sztucznej inteligencji, aby jeszcze efektywniej wykrywać luki w zabezpieczeniach i je wykorzystywać.

Podczas wydarzenia nie tylko omawiano sprawy hakerstwa i cyberbezpieczeństwa. Chcieliśmy również stworzyć przyjemną i swobodną atmosferę dla naszych uczestników. HackerOne przygotował stoisko z pocztówkami, na którym hakerzy mogli wysłać pocztówkę do domu, co zapewniło im wspaniałą przerwę w pracy. Dodatkowo mieliśmy ściankę do kolorowania, na której hakerzy mogli wykazać się kreatywnością i oddać się chwili artystycznej ekspresji. Wierzymy, że zrównoważone i przyjemne środowisko sprzyja współpracy i tworzeniu nowych pomysłów.

W ubiegłym roku finansowym firma Zoom przyznała nagrody w wysokości 3,9 mln dolarów setkom badaczy, zwiększając łączną kwotę przyznaną w ramach naszego programu Bug Bounty do ponad 7 mln dolarów od początku jego istnienia. Inwestycja ta odzwierciedla nasze zaangażowanie w utrzymanie najwyższego poziomu bezpieczeństwa i prywatności naszych klientów.

Oprócz ciągłego rozwijania naszego programu Bug Bounty, wydarzenia takie jak H1-4420 przypominają o sile współpracy i wspólnych wysiłkach potrzebnych do utrzymania przewagi w zakresie cyberbezpieczeństwa. Dzięki współpracy ramię w ramię z etycznymi hakerami z całego świata możemy proaktywnie usuwać luki w zabezpieczeniach i tworzyć bezpieczniejsze środowisko dla naszych klientów.

Aby dowiedzieć się więcej o naszych działaniach w zakresie etycznego hakerstwa oraz zasadach ujawniania luk w zabezpieczeniach, wejdź na stronę programu Bug Bounty.

Uwaga redaktora: ten post został zaktualizowany 31 lipca 2023 r., aby uwzględnić najnowsze informacje na temat programu Bug Bounty.