Безопасность и конфиденциальность

Итоги года: важность программы Bug Bounty 2023 для защиты безопасности Zoom

Целью программы Zoom Bug Bounty является стимуляция обнаружения и ответственного раскрытия уязвимостей в системе безопасности. Вот основные моменты прошедшего года.

3 мин. на чтение

Обновлено: June 17, 2024

Опубликовано: April 03, 2024

Заполнитель изображения

Безопасность — приоритет Zoom и наш неизменный предмет инвестиций в рамках различных инициатив, одной из которых является программа Zoom Bug Bounty. Она направлена на повышение безопасности в интернете, а также является ярким примером успешной коллективной работы, разработки инноваций и непрерывного совершенствования на каждом уровне сообщества Zoom. С 2019 года мы активно сотрудничаем с сообществом исследователей и сегодня рады сообщить, что выделили более 10 миллионов долл. США на вознаграждения за обнаруженные ошибки. Таким образом, мы защищаем сообщество Zoom, а также повышаем уровень конфиденциальности и безопасности наших пользователей. 

Целью программы Zoom Bug Bounty является стимуляция обнаружения и ответственного раскрытия уязвимостей в системе безопасности. За последние два года мы внедрили оптимизированную процедуру быстрого реагирования и ответных мер в отношении всех заявлений о рисках безопасности. Как только один из более 800 исследователей обнаружит ошибку и заявит о ней, команда безопасности проанализирует и воспроизведет проблему, а затем отправит заявку на рассмотрение соответствующей внутренней команде разработчиков, которая устранит неисправность в среднем всего за несколько часов. 

Вот уже более трех лет Zoom снижает затраты на обработку заявки о работе программы, одновременно увеличивая показатель выявления уязвимостей, которые в значительной степени влияют на платформу. Всего за три года мы снизили стоимость обработки достоверной заявки на 40% и более чем в два раза увеличили количество поданных заявок.

Достижения за 2023 год

VISS

В январе 2023 года команда программы Bug Bounty взяла на себя обязательство создать, доработать и выпустить инновационный механизм для измерения реального воздействия эксплуатации уязвимости на систему. Внедрение системы оценки воздействия уязвимостей (Vulnerability Impact Scoring System, VISS) в марте стало результатом коллективной работы над открытым исходным кодом на Github

Компания Zoom использует VISS уже более года и наблюдает растущий интерес со стороны других команд по поиску уязвимостей, которые стремятся к более объективной оценке воздействия уязвимостей. Коллективная работа и обратная связь о VISS до сих пор были положительными. Исследователи в области безопасности также вносят свой вклад, что повышает эффективность коллективной работы и целенаправленность VISS, а также прозрачный подход Zoom к управлению вознаграждениями за обнаруженные ошибки.

«VISS позволяет нам адаптировать работу исследователей в области безопасности таким образом, чтобы мы сосредоточились на наиболее важных аспектах с наибольшей степенью влияния и распределяли выплаты надлежащим образом, — объясняет Майкл Адамс, директор по информационной безопасности Zoom. — Мне важна не только надлежащая оплата, но и соответствующий уровень мотивации. Однако, если я не могу внести ясность в систему подсчета баллов, пояснить это будет крайне трудно. Сегодня же у нас есть возможность внести определенную ясность», — говорит он.

Для того чтобы тщательно изучить особенности и попробовать созданный компанией Zoom калькулятор системы VISS, ознакомьтесь с полным описанием системы VISS.

HackerOne

Мы также были рады стать спонсором мероприятия HackerOne H1-4420 в этом году, которое состоялось 22 июня 2023 года в CodeNode в Лондоне. Это мероприятие предоставило нам бесценную возможность коллективной работы с более чем 90 самыми талантливыми этичными хакерами из 41 страны, которые повышают безопасность платформы Zoom вместе. Активно взаимодействуя с этим сообществом, мы можем не только снизить риски, но и стимулировать инновации, а также непрерывно повышать качество услуги. Стоит отметить, что это лишь краткий обзор мероприятия и его результатов.

Награды программы Bug Bounty

2023 год был важным для нас: мы выплатили вознаграждение за обнаружение ошибок в размере более 2,4 миллиона долл. США более чем за 1000 отдельных действительных заявок, представленных более чем 200 различными исследователями в области безопасности. Таким образом, сумма общего призового фонда программы Bug Bounty превысила 10 миллионов долл. США.

Безопасность — наш неизменный приоритет на пути развития

Искусственный интеллект и машинное обучение все глубже интегрируются в продукты Zoom, в то время как команда программы Zoom Bug Bounty при поддержке наших ведущих исследователей все усерднее выявляет уязвимости. Развитие генеративного ИИ приводит к появлению новых рисков безопасности и конфиденциальности, включая дезинформацию, заражение данных и кражу данных. Кампании VIP-программ позволяют платформе HackerOne предоставлять все программно-аппаратное обеспечение, необходимое Zoom для эффективной двусторонней коллективной работы с исследователями. 

Стоит отметить, что мы сосредоточены не только на развитии ИИ-решений, но и на разработке надежного набора функций, которые, согласно плану, представим в 2024 году. Итак, мы с нетерпением ждем волны новых заявок в рамках акции Spring BREAKAGE (Весенняя ПОЛОМКА), которая началась 1 апреля 2024 года и продлится весь апрель. В этом месяце мы добавили несколько новых возможностей тестирования и увеличили сумму вознаграждений.

Для того чтобы помочь повысить уровень безопасности Zoom, отправьте имя профиля на платформе HackerOne по адресу электронной почты bugbounty@zoom.us или посетите страницу вакансий Zoom, где представлены незамещенные должности в отделах обеспечения доверия и безопасности. Удачного хакерства!

Чтобы узнать больше о конфиденциальности и безопасности Zoom, посетите Trust Center. Нашли ошибку? Заявите об уязвимости здесь. 

Наши клиенты нас любят

Okta
Nasdaq
Rakuten
Logitech
Western Union
Autodesk
Dropbox
Okta
Nasdaq
Rakuten
Logitech
Western Union
Autodesk
Dropbox

Zoom — единая платформа для совместной работы