Итоги года: важность программы Bug Bounty 2023 для защиты безопасности Zoom
Целью программы Zoom Bug Bounty является стимуляция обнаружения и ответственного раскрытия уязвимостей в системе безопасности. Вот основные моменты прошедшего года.
Обновлено: April 22, 2024
Опубликовано: September 25, 2023
Zoom тестирует свои решения и инфраструктуру ежедневно, но мы знаем, что необходимо дополнять это тестирование, используя потенциал сообщества этичных хакеров. Они помогают выявлять пограничные уязвимости, которые можно обнаружить только в определенных сценариях использования и при определенных обстоятельствах.
Именно поэтому Zoom инвестировала в международную команду квалифицированных исследователей по безопасности, создав частную программу Bug Bounty на платформе HackerOne — ведущего в отрасли поставщика по вопросам найма и привлечения профессионалов в сфере безопасности. Доступ к участию в частных программах Bug Bounty предоставляется только по приглашению, так что компании могут тщательно подбирать исследователей по безопасности, учитывая результаты их предыдущих работ. HackerOne подсчитывает статистику каждого исследователя, учитывая его результативность, степень оказанного влияния на программы, в которых он участвовал, и репутацию. Все эти показатели помогают оценить, насколько надежными и практически полезными будут добытые им сведения.
Компания Zoom приняла на работу более 800 исследователей по безопасности на платформе HackerOne. Результат их совместной работы — множество поданных отчетов об ошибках. Стоимость их наград, полученных с момента запуска программы в форме премий, сувениров и подарков, превысила 2,4 млн долл. США. Только в 2021 г. Zoom выделила на награды более 1,8 млн долл. США за 401 отчет. Мы хотим поблагодарить всех, кто выявил ошибки и ответственно сообщил о них в Zoom, особенно следующих наших 10 лучших исследователей:
В прошлом году отдел управления уязвимостями и премиальной программы по выявлению ошибок сосредоточил внимание на управлении наймом в среде компетентных специалистов и привлечении к участию в нашей программе более квалифицированных исследователей по безопасности, предоставив им отличные возможности.
Для привлечения лучших специалистов мы разработали пять принципов, способствующих координированию и оптимизации нашей программы, которые изложены ниже.
Чтобы поддержать текущих исследователей и привлечь новых эффективных кадров, Zoom также внесла несколько основных изменений в нашу программу Bug Bounty 2021 г. Подробности описаны ниже.
Мы многому научились и многого достигли в 2021 г. и стремимся расширить усилия в этом направлении и привлечь к работе больше этичных хакеров в 2022 г. Если вы хотите помочь повысить уровень безопасности Zoom, отправьте свое имя профиля на платформе HackerOne на адрес электронной почты bugbounty@zoom.us. Также можно посетить страницу вакансий Zoom, где представлены незамещенные должности в отделах обеспечения доверия и безопасности. Удачного хакерства!
Чтобы получить дополнительную информацию о конфиденциальности и безопасности Zoom, обратитесь в наш Trust Center.