Garantindo o futuro: Zoom junta forças com HackerOne no evento H1-4420

O evento H1-4420 uniu mais de 90 profissionais de segurança de mais de 41 países, com participações presenciais e virtuais. Esses hackers habilidosos vasculharam cada canto da plataforma Zoom, buscando vulnerabilidades em potencial em uma variedade de produtos, do Zoom Mail e Calendário ao Zoom AI Companion. Seus esforços oferecem um suporte valioso que nos ajuda a evoluir nossos produtos e proteger melhor nossos clientes. Somos imensamente gratos por suas contribuições.

Nossos melhores desempenhos na H1-4420 para prêmios especiais e outras categorias incluem:

Primeiro lugar e título de Exterminador: cache-money

Segundo lugar e o título de Vigilante: f6x

Melhor colaboração: tomanthony, todayisnew, hx01 e shubs.

Estamos orgulhosos de ter tido a oportunidade de ajudar a HackerOne a celebrar e liderar as atividades de hacking ético estratégico desses indivíduos. 

Os hackers participando da H1-4420 realizaram um processo avançado de avaliação de bugs que utilizaram tanto a abordagem convencional Common Vulnerability Scoring System (CVSS) e o novo Vulnerability Impact Scoring System (VISS). Com o VISS, nós fomos além da análise superficial e  avaliamos o impacto demonstrado de cada bug na plataforma Zoom.

Ao incorporar o VISS no nosso programa de prêmio de bug, nós empoderamos nossa equipe para alocar recursos eficientemente e focar nas vulnerabilidades mais críticas. Essa abordagem proativa aprimora nossa postura geral de segurança, ajudando a garantir um ambiente seguro para nossos preciosos clientes. O comprometimento da Zoom com práticas robustas de segurança e com a confiança de nossos clientes é exemplificado através da introdução do VISS, já que almejamos sempre permanecer atualizados na busca contínua de medidas abrangentes de segurança.

Para o evento deste ano, a Zoom também criou três "Easter eggs" como quebra-cabeças adicionais para que os participantes solucionem. Cada um dos três quebra-cabeças envolvia quebrar diferentes algoritmos de criptografia através de tipos diferentes de exploração. Em um exemplo, um hacker de nome "rez0" usou uma ferramenta de IA para ajudar a gerar novas listas de palavras para ajudar com a abordagem de força bruta na resolução do quebra-cabeça. Continuamos a ver hackers usarem ferramentas de IA para serem ainda mais eficientes na detecção de vulnerabilidades e em seus esforços de exploração.

O evento não foi só sobre hacking e debates sobre cibersegurança. Nós também queríamos criar uma atmosfera divertida e de relaxamento para nossos participantes. A HackerOne montou uma estação de cartões postais personalizados onde hackers podiam enviar cartões postais para casa, fornecendo uma pausa proveitosa do trabalho. Além disso, tínhamos uma parede de colorir onde hackers podiam mostrar sua criatividade e aproveitar um momento de expressão artística. Nós acreditamos que um ambiente equilibrado e agradável promove a colaboração e criação de novas ideias.

No último ano fiscal, a Zoom deu 3,9 milhões de dólares em prêmios para centenas de pesquisadores, trazendo o total premiado através do Programa de Prêmio de Bug para mais de 7 milhões de dólares desde sua criação. Esse investimento reflete nossa dedicação de manter os mais altos níveis de segurança e privacidade para nossos clientes.

Além de continuarmos evoluindo nosso Programa de Prêmio de Bug, eventos como o H1-4420 servem como um lembrete do poder da colaboração e os esforços coletivos necessários para ajudar a nos manter na vanguarda do cenário de cibersegurança. Ao trabalhar de mãos dadas com os hackers éticos do mundo todo, podemos corrigir vulnerabilidades proativamente e criar um ambiente mais seguro para nossos clientes.

Para saber mais sobre nossos esforços de hacking ético e a Política de Divulgação de Vulnerabilidades, visite nossa página do Programa de Prêmio de Bug.

Nota do editor: essa postagem de blog foi editada em 31 de julho de 2023 para incluir as informações de data mais atualizadas no nosso programa de prêmio de bug.