Безопасность и конфиденциальность

Обзор программы Bug Bounty компании Zoom по выявлению ошибок в 2021 г.

Компания Zoom инвестировала в международную команду квалифицированных исследователей безопасности, создав частную программу Bug Bounty на платформе HackerOne.
4 мин. на чтение

Обновлено: April 18, 2023

Опубликовано: April 05, 2022

Bug Bounty

Безопасная и защищенная виртуальная коммуникация — главный приоритет компании Zoom. Основные задачи сотен наших штатных инженеров по безопасности — обеспечение конфиденциальности и целостности сообщений и конференций, а также доступности и надежности нашей международной инфраструктуры. 

Мы знаем, что для предотвращения угроз для наших пользователей и инфраструктуры крайне важно создать надежные средства защиты. Именно поэтому мы постоянно тестируем нашу платформу и инфраструктуру, чтобы выявлять появляющиеся и потенциальные угрозы и уязвимости. 

Использование потенциала сообщества специалистов по безопасности

Zoom тестирует свои решения и инфраструктуру ежедневно, но мы знаем, что необходимо дополнять это тестирование, используя потенциал сообщества этичных хакеров. Они помогают выявлять пограничные уязвимости, которые можно обнаружить только в определенных сценариях использования и при определенных обстоятельствах. 

Именно поэтому компания Zoom инвестировала в международную команду квалифицированных исследователей безопасности, создав частную программу Bug Bounty на платформе HackerOne — ведущего в отрасли поставщика услуг в сфере найма и привлечения специалистов по безопасности. Доступ к участию в частных программах Bug Bounty предоставляется только по приглашению, так что компании могут тщательно подбирать исследователей безопасности, учитывая результаты их предыдущих работ. HackerOne подсчитывает статистику каждого исследователя, учитывая его результативность, степень оказанного влияния на программы, в которых он участвовал, и репутацию. Все эти показатели помогают оценить, насколько надежными и практически полезными будут добытые им сведения.  

Компания Zoom приняла на работу более 800 исследователей безопасности на платформе HackerOne. Результат их совместной работы — множество поданных отчетов об ошибках. Стоимость их наград, полученных с момента запуска программы в форме премий, сувениров и подарков, превысила 2,4 млн долл. США. Только в 2021 г. Zoom выделила на награды более 1,8 млн долл. США за 401 отчет. Мы хотим поблагодарить всех, кто выявил ошибки и ответственно сообщил о них в Zoom, особенно следующих наших 10 лучших исследователей:

todayisnewmrtuxracerandifixitd0xing
badcrackerkawiriskavensgodiegocache-money
Премии, присужденные в 2021 г.

Какой подход к найму мы используем

В прошлом году отдел управления уязвимостями и реализации программы Bug Bounty сосредоточил внимание на управлении наймом в среде компетентных специалистов и привлечении к участию в нашей программе более квалифицированных исследователей безопасности, предоставив им отличные возможности. 

Для привлечения лучших специалистов мы разработали пять принципов, способствующих координированию и оптимизации нашей программы, которые изложены ниже.

  • Четкие и краткие правила программы, описывающие виды разрешенного тестирования, сведения о правиле безопасной гавани, а также список диапазонов возможных премиальных выплат за отчеты о конкретных типах уязвимостей.
  • Последовательное расширение направлений атак, то есть сферы применения программы Bug Bounty, и четкое определение того, что конкретно в эту сферу не входит (выходит за ее рамки).
  • Минимизация сроков предоставления ответов в рамках программы, исправления и выплаты премий. Никто не хочет ждать, пока его услышат и заплатят ему за работу, в том числе и этичные хакеры.
  • Профессиональные отношения и прямые контакты с сотрудниками Zoom, которые управляют программой Bug Bounty, установление очередности рассмотрения поданных отчетов и определение сумм премиальных выплат.
  • Конкурентоспособные премиальные выплаты, точно соответствующие объему работы, выполненной исследователями, и уровню серьезности последствий уязвимости, которой бы могли воспользоваться.

Развитие нашей программы

Чтобы поддержать текущих исследователей и привлечь новые эффективные кадры, компания Zoom также внесла несколько основных изменений в программу Bug Bounty в 2021 г. Подробности описаны ниже.

  • Мы отказались от статического диапазона премиальных выплат, сумма которых определялась только в зависимости от степени серьезности выявленной уязвимости. Вместо этого мы создали список выплат. В нем представлены суммы премий в зависимости от типа обнаруженной уязвимости и продемонстрированных последствий для пользователей и инфраструктуры Zoom, если бы ею воспользовались. В январе 2021 г. компания Zoom повысила максимальную сумму в таблице премий до 50 000 долл. США за один отчет, а минимальную — до 250 долл. США.
  • Мы внедрили публичную программу раскрытия информации об уязвимостях, в которой мог поучаствовать и отправить в Zoom отчеты об уязвимостях кто угодно, а не только широко известные исследователи безопасности. Это способствовало оптимизации приема отчетов и позволило быстро вовлекать соответствующие команды Zoom, и в конечном итоге ошибки исправлялись быстрее, а продукты становились более безопасными.
  • В октябре 2021 г. мы запустили нашу VIP-программу Bug Bounty. Программа сосредоточена на лицензированных версиях решений Zoom и имеет расширенную область тестирования безопасности.
  • На протяжении 2021 г. отдел управления уязвимостями и премиальной программы по выявлению ошибок Zoom работал над сокращением сроков предоставления первоначального ответа, установления очередности, исправления и премиальных выплат. Наши текущие показатели свидетельствуют о том, что среднее время предоставления первоначального ответа составляет менее четырех часов, а полный срок установления очередности рассмотрения входящих отчетов обычно составляет менее 48 часов. Команда еженедельно обсуждает и пересматривает премиальные выплаты, и это значит, что премии обычно выплачивают в течение 14 дней после подачи отчета.
  • Чтобы построить долгосрочные отношения с нашими исследователями, компания Zoom провела несколько конференций Zoom для знакомства с исследователями со всего мира. Сообщество этичных хакеров отличается невероятным разнообразием. В него входят учащиеся колледжей, профессора, талантливые подростки, которые еще учатся хакерской работе, и обычные пользователи Zoom, «заметившие что-то странное». 

Перспективы

Мы многому научились, многого достигли в 2021 г. и стремимся расширить усилия в этом направлении и привлечь к работе больше этичных хакеров в 2022 г. Если вы хотите помочь повысить уровень безопасности Zoom, отправьте свое имя профиля на платформе HackerOne на адрес электронной почты bugbounty@zoom.us. Также можно посетить страницу вакансий Zoom, где представлены незамещенные должности в отделах обеспечения доверия и безопасности. Удачного хакерства!

Чтобы получить дополнительную информацию о конфиденциальности и безопасности Zoom, обратитесь в наш Trust Center.

Наши клиенты нас любят

Okta
Nasdaq
Rakuten
Logitech
Western Union
Autodesk
Dropbox
Okta
Nasdaq
Rakuten
Logitech
Western Union
Autodesk
Dropbox

Zoom — единая платформа для совместной работы