Programa de prêmio de bug do Zoom: 2021 em análise

Diariamente, o Zoom testa nossas soluções e infraestrutura, mas sabemos que é importante aumentar o poder dos testes trabalhando em conjunto com a comunidade de hackers éticos para que ela possa nos ajudar a identificar casos extremos de vulnerabilidade que talvez só possam ser detectados em certos casos de uso e circunstâncias.

É por isso que o Zoom investiu em uma equipe global qualificada de pesquisadores de segurança, por meio de um Programa de prêmio de bug, na plataforma da HackerOne, que é a provedora líder de mercado no recrutamento e relacionamento com profissionais focados em segurança. O acesso aos Programas de prêmio de bug privados só pode ser feito com convite, o que permite às empresas escolher a dedo os pesquisadores, de acordo com seus trabalhos anteriores. A HackerOne calcula estatísticas para cada pesquisador, de acordo com a relação sinal-ruído, o impacto nos programas para os quais eles contribuíram e a reputação que, em conjunto, ajudam a mensurar quão relevante e acionáveis suas descobertas serão.  

O Zoom recrutou mais de 800 pesquisadores de segurança na plataforma HackerOne. O trabalho coletivo resultou no envio de inúmeros relatórios de bug e prêmios de mais de US$ 2,4 milhões em recompensas, mercadorias e brindes, desde a estreia do programa. Só em 2021, o Zoom pagou mais de US$ 1,8 milhão em 401 relatórios. Gostaríamos de agradecer a todos que de maneira responsável revelaram bugs ao Zoom e de maneira muito especial aos seguintes pesquisadores que formam a nossa lista dos "Top 10":

No último ano, nossa equipe de Gestão de vulnerabilidade e pagamento de bug (VMBB) focou em enfrentar um cenário competitivo de recrutamento, para que mais pesquisadores de segurança com nível de "rock star" se juntassem ao nosso programa, oferecendo a eles uma experiência excelente.

Para atrair os melhores talentos, estabelecemos os cinco princípios a seguir para ajudar a orientar e aprimorar nosso programa:

• políticas claras e concisas do programa que especificam quais tipos de teste são permitidos, detalhes sobre a política "Safe Harbor" do programa e um menu de possíveis intervalos de pagamento de recompensas para tipos de específicos de relatórios de vulnerabilidade.
  
• aprimoramento consistente da amplitude da superfície de ataque, também conhecida como "escopo" de um Programa de prêmio de bug e definição clara do que, especificamente, está fora do escopo ou dos limites do programa.
  
• mitigação da resposta, remediação e do prazo de pagamento do programa. Ninguém gosta de esperar ou sentir que é difícil receber por um trabalho que foi feito, e isso não é diferente com os hackers éticos.
  
• relacionamento profissional e contato direto com os funcionários do Zoom que gerenciam o Programa de prêmio de bug, fazem a seleção dos envios de relatórios e determinam os pagamentos de recompensas.
  
• recompensas competitivas que refletem de maneira precisa o trabalho feito pelos pesquisadores e a gravidade do impacto que uma vulnerabilidade pode ter se ela for explorada.

Para apoiar os atuais pesquisadores, além de atrair novos, ao longo de 2021 o Zoom também implementou diversas atualizações importantes no nosso Programa de prêmio de bug. Isso inclui:

• substituímos o intervalo de recompensa estática, baseado apenas na gravidade da vulnerabilidade reportada e implementamos um "Menu de Recompensas". Este menu oferece aos pesquisadores valores específicos de recompensa, de acordo com o tipo de vulnerabilidade encontrado e o impacto demonstrado que ela poderia ter nos usuários e na infraestrutura do Zoom. Em janeiro de 2021, o Zoom aumentou a maior recompensa para US$ 50.000, por um único relatório e a menor recompensa para US$ 250.

• viabilizamos um Programa de divulgação de vulnerabilidade (VDP), público que permite que qualquer pessoa, e não apenas os pesquisadores de segurança regulares, envie relatórios de vulnerabilidade para o Zoom. Isso simplificou o recebimento de relatórios e permite que as equipes corretas no Zoom sejam envolvidas rapidamente, o que, em última instância, leva a soluções mais rápidas dos bugs e um produto mais seguro.

• lançamos em outubro de 2021, nosso Programa de prêmio de bug VIP. Este programa está focado nas versões licenciadas das soluções Zoom e ampliou o escopo dos testes de segurança.
  
• focamos durante todo o ano de 2021, por meio da equipe de VMBB do Zoom, na diminuição dos prazos de resposta inicial, triagem, remediação e pagamento de recompensas. Nossas métricas atuais mostram que o tempo de resposta médio inicial está abaixo de quatro horas, enquanto a triagem completa dos relatórios que chegam leva menos do que 48 horas. Os pagamentos de recompensas são discutidos e analisados semanalmente pela equipe, o que significa que as recompensas são pagas, normalmente, em um prazo de 14 dias a contar do envio do relatório.

• organizamos diversas reuniões Zoom para conhecer melhor nossos pesquisadores em todo o mundo e ajudar a definir os relacionamentos existentes com nossos pesquisadores. De estudantes e professores de faculdades até adolescentes talentosos que ainda estão aprendendo a hackear, passando por usuários do Zoom que "observaram algo estranho", há uma diversidade incrível na comunidade de hackers éticos.

Aprendemos e crescemos muito em 2021 e estamos empolgados para ampliar estes esforços e trabalhar com mais hackers éticos ao longo de 2022. Se você estiver interessado em ajudar a tornar o Zoom mais seguro, envie um e-mail do seu nome de perfil do HackerOne para bugbounty@zoom.us ou acesse a página de carreiras do Zoom para ter acesso às vagas abertas nas nossas equipes de Confiança e Segurança. Bom hack!

Para saber mais sobre a privacidade e segurança do Zoom, conheça o nosso Trust Center.