Итоги года: важность программы Bug Bounty 2023 для защиты безопасности Zoom

Безопасность — приоритет Zoom и наш неизменный предмет инвестиций в рамках различных инициатив, одной из которых является программа Zoom Bug Bounty. Она направлена на повышение безопасности в интернете, а также является ярким примером успешной коллективной работы, разработки инноваций и непрерывного совершенствования на каждом уровне сообщества Zoom. С 2019 года мы активно сотрудничаем с сообществом исследователей и сегодня рады сообщить, что выделили более 10 миллионов долл. США на вознаграждения за обнаруженные ошибки. Таким образом, мы защищаем сообщество Zoom, а также повышаем уровень конфиденциальности и безопасности наших пользователей. 

Целью программы Zoom Bug Bounty является стимуляция обнаружения и ответственного раскрытия уязвимостей в системе безопасности. За последние два года мы внедрили оптимизированную процедуру быстрого реагирования и ответных мер в отношении всех заявлений о рисках безопасности. Как только один из более 800 исследователей обнаружит ошибку и заявит о ней, команда безопасности проанализирует и воспроизведет проблему, а затем отправит заявку на рассмотрение соответствующей внутренней команде разработчиков, которая устранит неисправность в среднем всего за несколько часов. 

Вот уже более трех лет Zoom снижает затраты на обработку заявки о работе программы, одновременно увеличивая показатель выявления уязвимостей, которые в значительной степени влияют на платформу. Всего за три года мы снизили стоимость обработки достоверной заявки на 40% и более чем в два раза увеличили количество поданных заявок.

VISS

В январе 2023 года команда программы Bug Bounty взяла на себя обязательство создать, доработать и выпустить инновационный механизм для измерения реального воздействия эксплуатации уязвимости на систему. Внедрение системы оценки воздействия уязвимостей (Vulnerability Impact Scoring System, VISS) в марте стало результатом коллективной работы над открытым исходным кодом на Github. 

Компания Zoom использует VISS уже более года и наблюдает растущий интерес со стороны других команд по поиску уязвимостей, которые стремятся к более объективной оценке воздействия уязвимостей. Коллективная работа и обратная связь о VISS до сих пор были положительными. Исследователи в области безопасности также вносят свой вклад, что повышает эффективность коллективной работы и целенаправленность VISS, а также прозрачный подход Zoom к управлению вознаграждениями за обнаруженные ошибки.

«VISS позволяет нам адаптировать работу исследователей в области безопасности таким образом, чтобы мы сосредоточились на наиболее важных аспектах с наибольшей степенью влияния и распределяли выплаты надлежащим образом, — объясняет Майкл Адамс, директор по информационной безопасности Zoom. — Мне важна не только надлежащая оплата, но и соответствующий уровень мотивации. Однако, если я не могу внести ясность в систему подсчета баллов, пояснить это будет крайне трудно. Сегодня же у нас есть возможность внести определенную ясность», — говорит он.

Для того чтобы тщательно изучить особенности и попробовать созданный компанией Zoom калькулятор системы VISS, ознакомьтесь с полным описанием системы VISS.

HackerOne

Мы также были рады стать спонсором мероприятия HackerOne H1-4420 в этом году, которое состоялось 22 июня 2023 года в CodeNode в Лондоне. Это мероприятие предоставило нам бесценную возможность коллективной работы с более чем 90 самыми талантливыми этичными хакерами из 41 страны, которые повышают безопасность платформы Zoom вместе. Активно взаимодействуя с этим сообществом, мы можем не только снизить риски, но и стимулировать инновации, а также непрерывно повышать качество услуги. Стоит отметить, что это лишь краткий обзор мероприятия и его результатов.

Награды программы Bug Bounty

2023 год был важным для нас: мы выплатили вознаграждение за обнаружение ошибок в размере более 2,4 миллиона долл. США более чем за 1000 отдельных действительных заявок, представленных более чем 200 различными исследователями в области безопасности. Таким образом, сумма общего призового фонда программы Bug Bounty превысила 10 миллионов долл. США.

Искусственный интеллект и машинное обучение все глубже интегрируются в продукты Zoom, в то время как команда программы Zoom Bug Bounty при поддержке наших ведущих исследователей все усерднее выявляет уязвимости. Развитие генеративного ИИ приводит к появлению новых рисков безопасности и конфиденциальности, включая дезинформацию, заражение данных и кражу данных. Кампании VIP-программ позволяют платформе HackerOne предоставлять все программно-аппаратное обеспечение, необходимое Zoom для эффективной двусторонней коллективной работы с исследователями. 

Стоит отметить, что мы сосредоточены не только на развитии ИИ-решений, но и на разработке надежного набора функций, которые, согласно плану, представим в 2024 году. Итак, мы с нетерпением ждем волны новых заявок в рамках акции Spring BREAKAGE (Весенняя ПОЛОМКА), которая началась 1 апреля 2024 года и продлится весь апрель. В этом месяце мы добавили несколько новых возможностей тестирования и увеличили сумму вознаграждений.

Для того чтобы помочь повысить уровень безопасности Zoom, отправьте имя профиля на платформе HackerOne по адресу электронной почты bugbounty@zoom.us или посетите страницу вакансий Zoom, где представлены незамещенные должности в отделах обеспечения доверия и безопасности. Удачного хакерства!

Чтобы узнать больше о конфиденциальности и безопасности Zoom, посетите Trust Center. Нашли ошибку? Заявите об уязвимости здесь.