O ano em análise: o que nosso Programa de prêmio de bug de 2023 significa para a segurança do Zoom

A segurança é sempre um destaque no Zoom e um investimento com o qual estamos sempre comprometidos por meio de diversos programas e iniciativos. O programa de prêmio de bug do Zoom é uma dessas iniciativas voltadas para aumentar a segurança online e um exemplo brilhante da colaboração, inovação e melhoria contínua que envolve toda a comunidade Zoom. Desde 2019, temos trabalhado ativamente com a comunidade de pesquisas e, agora, estamos empolgados em anunciar que já demos mais de US$ 10 milhões em prêmios por meio de pagamentos do programa de bug para ajudar a solidificar as defesas do Zoom e proteger a privacidade e segurança dos nossos usuários. 

O programa de prêmio de bug do Zoom é desenvolvido para incentivar a descoberta e a divulgação responsável de vulnerabilidades de segurança. Nos últimos dois anos, implementamos um processo simplificado para garantir reações e respostas imediatas em relação a todos os relatórios de segurança. Assim que um bug é detectado e enviado por um dos nossos mais de 800 pesquisadores, nossa equipe de segurança analisa o relatório, reproduz o bug e envia para equipe de desenvolvimento interna correta para correção que, em média, leva apenas algumas horas. 

Nós últimos três anos, o Zoom tem diminuído o custo por relatório da operação do programa, enquanto ao mesmo tempo tem aumentado a identificação de vulnerabilidades, com um impacto tangível na nossa plataforma. Em apenas três anos, diminuímos o custo por relatório válido em 40% e notamos que os envios de relatórios mais que duplicaram.

VISS

Em janeiro de 2023, a equipe do prêmio de bug se comprometeu a criar, aperfeiçoar e lançar um novo mecanismo inovador para mensurar o impacto que a exploração de uma vulnerabilidade no mundo real tem em um sistema. A implementação do Vulnerability Impact Scoring System (Sistema de Pontuação do Impacto da Vulnerabilidade), ou VISS, ocorrida em março, foi o resultado desse esforço colaborativo aberto, no Github. 

O Zoom vem utilizando o VISS há mais de um ano e tem visto um interesse crescente de outras equipes de prêmio de bug que estão buscando uma mensuração mais objetiva em relação ao impacto da vulnerabilidade. Até o momento, a colaboração e o feedback em relação ao VISS têm sido positivos. Os pesquisadores de segurança também estão contribuindo com feedback, o que aumenta a colaboração e o foco do VISS e a abordagem transparente do Zoom para a gestão dos prêmios de bugs.

"O VISS nos permite personalizar o trabalho dos pesquisadores de segurança para que foquemos em aspectos mais importantes, que tenham o mais alto nível de impacto e, em seguida, nossos pagamentos são orientados nesse sentido", explica Michael Adams, CISO do Zoom. "Eu não apenas quero pagar adequadamente, mas quero incentivar adequadamente e se não consigo dar clareza em relação ao meu sistema de pontuação, é muito difícil para eles entenderem. Agora, estamos conseguindo oferecer um certo grau de clareza", afirma Adams.

Para saber mais detalhes e experimentar a implementação no Zoom da calculadora VISS, confira a especificação completa do VISS.

HackerOne

Estamos muito animados por sermos patrocinadores do evento HackerOne H1-4420 de 2023, que ocorreu no dia 22 de junho, no CodeNode em Londres. Esse evento nos deu uma oportunidade inestimável de colaborar com mais de 90 dos hackers éticos mais talentosos de 41 países, todos trabalhando juntos para ajudar a melhorar a segurança da plataforma Zoom. Ao participarmos ativamente dessa comunidade, podemos não apenas reduzir os riscos, mas também promover a inovação e melhorar continuamente os nossos serviços. Veja o que aconteceu no evento.

Premiação para correção de bugs

2023 foi um grande ano para nós, pois pagamos mais de US$ 2,4 milhões em prêmios por bugs para mais de 1.000 relatórios únicos válidos, enviados por mais de 200 pesquisadores de segurança diferentes. Isso elevou o total acumulado de prêmios de recompensa por bugs para mais de US$ 10 milhões.

Como a inteligência artificial e o aprendizado de máquina estão mais integrados aos produtos Zoom, a equipe do prêmio de bug do Zoom tem estado ocupada trabalhando com muitos dos nossos principais pesquisadores para identificar vulnerabilidades. A ascensão da IA generativa traz novos riscos de segurança e privacidade, incluindo desinformação, envenenamento de dados e exfiltração de dados. Usando a funcionalidade de campanhas em nossos programas VIP, a plataforma HackerOne oferece todo o poder de processamento de back-end de que o Zoom precisa para ter colaborações significativas e bidirecionais com os pesquisadores. 

Além do nosso foco em IA, temos um conjunto robusto de recursos programados para serem lançados este ano como parte do nosso planejamento para 2024. Tendo isso em mente estamos ansiosos por uma onda de novos relatórios durante a nossa promoção “Spring BREAKAGE”, que começou no dia 1º de abril de 2024 e vai até o fim desse mesmo mês. Diversos novos recursos foram incluídos ao escopo de teste e os prêmios aumentaram para essa promoção.

Se você estiver interessado em ajudar a tornar o Zoom mais seguro, envie um e-mail com seu nome de perfil do HackerOne para bugbounty@zoom.us ou acesse a página de carreiras do Zoom para ter acesso às vagas abertas nas nossas equipes de Confiança e Segurança. Bom hacking!

Para saber mais sobre a privacidade e a segurança do Zoom, acesse nossa Central de Confiança. Encontrou um bug? Envie um problema de vulnerabilidade por aqui.