Como proteger o Zoom e nossos clientes: uma visão do sucesso em 2022, do nosso Programa de prêmio de bug

No quesito segurança, o que importa é quem chega primeiro. Corremos para identificar bugs e problemas antes que os vilões consigam fazer isso e para isso contamos com a ajuda da comunidade dos hackers éticos.

Financiamos esta ajuda através do nosso Programa de prêmio de bug do Zoom, o que permite conectarmos relacionarmos com os pesquisadores especialistas que nos ajudam, de forma proativa, mitigar riscos e criar um ambiente mais seguro para os nossos clientes. E, no ano passado, tivemos muitas conquistas como uma comunidade. Aqui está um pouco do que fizemos: 

No Zoom, testamos nossa infraestrutura diariamente, mas sabemos que não estamos imunes a vulnerabilidades específicas que atingem um número limitado de usuários e dispositivos ou que só acontecem sob circunstâncias incomuns. Então, pedimos reforço à comunidade ética de hackers que muitas vezes pode detectar bugs que só podem ser descobertos em circunstâncias específicas. 

É por isso que nosso Programa de prêmio de bug foca em recrutar pesquisadores hábeis e eficazes. Em 2022, enviamos mais convites para que pesquisadores acessem nosso Programa HackerOne, com foco em atrair talentos em segurança ativa. Queremos também ir além do nosso programa para encontrar talentos, então acessamos a comunidade por meio de eventos do setor, como o H1-702.

Estes pesquisadores trabalham duro para nos ajudar, então nos esforçamos da mesma maneira para comemorar os envios de relatórios exitosos. No ano fiscal de 2023, concedemos US$ 3,9 milhões em prêmios a centenas de pesquisadores e mais de 7 US$ milhões desde que o programa começou. 

Além de identificar vulnerabilidades, o suporte de pesquisadores externos ajudou o Zoom a progredir de outras formas. Usamos estes relatórios para demonstrar itens que precisavam de atenção, sinalizar causas-raiz para problemas, criar um melhor alinhamento interdepartamental e encontrar possíveis ameaças antes que elas virassem um problema. Como resultado, nosso prazo para solução de relatórios de prêmio de bug melhorou significativamente nos últimos dois anos.

No começo deste ano, reestruturamos nossa equipe e desenvolvemos atualizações para o programa do ano fiscal de 2024. Avaliamos os pesquisadores que estão atualmente no nosso programa para ter certeza de que estão todos ativos e contribuindo. Queremos começar o próximo ano fiscal com o pé direito e tudo começa ao trabalharmos com pesquisadores eficazes e de alto calibre.

O Programa de prêmio de bug do Zoom também está implementando um novo sistema de pontuação do impacto de vulnerabilidade para ajudar os pesquisadores a fazerem o melhor trabalho possível. Continuaremos a usar o Sistema de pontuação de vulnerabilidades comuns (CVSS), padrão do setor, para pontuar os relatórios, mas estamos evoluindo nosso programa ao incluir um sistema de pontuação complementar, chamado de Sistema de pontuação do impacto de vulnerabilidades (VISS), que analisa 13 aspectos diferentes de cada vulnerabilidade comunicada de como elas se relacionam com a infraestrutura, tecnologia e segurança de dados do cliente do Zoom. Com a implantação do VISS, o prêmio de bug pode focar mais em mensurar responsavelmente o impacto demonstrado, ao invés da possibilidade teórica da exploração.

Assim como o Programa de prêmio de bug do Zoom cresceu no último ano, continuamos a evoluir e amadurecer nossos processos, prêmios e escopo de teste. Estamos muito animados em ver o impacto do nosso novo sistema de pontuação e todo o bem que nossos pesquisadores podem fazer em 2023. 

Se você estiver interessado em ajudar a tornar o Zoom mais seguro, envie um e-mail do seu nome de perfil do HackerOne para bugbounty@zoom.us ou acesse a página de carreiras da Zoom para ter acesso às vagas abertas nas nossas equipes de Confiança e Segurança. Bom hack!

Para saber mais sobre a privacidade e segurança do Zoom, conheça o nosso Trust Center.