Zoom объединяется с HackerOne на мероприятии H1-4420

В компании Zoom безопасность и конфиденциальность — не просто пустые слова. Напротив — это часть нашей культуры и ключевых инициатив. Мы понимаем, что в контексте столь изменчивой сферы кибербезопасности крайне важно стараться предвосхищать потенциальные угрозы. Поэтому, пользуясь опытом сообщества этичных хакеров, мы вычисляем и устраняем уязвимости, прежде чем ими смогут воспользоваться злоумышленники. Например, с этой целью мы работаем с нашим партнером HackerOne и участвуем в их хакерских мероприятиях в реальном времени.

Мы с удовольствием стали спонсором мероприятия H1-4420, которое проводила компания HackerOne 22 июня 2023 года в лондонском павильоне CodeNode. Это мероприятие дало нам бесценную возможность вести коллективную работу с некоторыми из самых талантливых этичных хакеров со всего мира, и все вместе они помогали повысить безопасность платформы Zoom. Активно взаимодействуя с этим сообществом, мы можем не только устранить риски, но и стимулировать внедрение инноваций и постоянно улучшать качество наших услуг.

Мероприятие H1-4420 очно и виртуально посетили более 90 специалистов в сфере безопасности из 41 страны. Эти опытные хакеры детально изучили платформу Zoom в поисках потенциальных уязвимостей в разных продуктах, начиная с Zoom Mail и Zoom Calendar и заканчивая Zoom AI Companion. Таким образом они предоставили нам неоценимую поддержку, помогли улучшить продукты и еще больше обезопасить наших клиентов. И мы безмерно благодарны за их вклад.

Наши лучшие участники на H1-4420 по выплатам поощрений и другим категориям перечислены далее.

Первое место и звание «Истребитель»: cache-money.

Второе место и звание «Народный мститель»: f6x.

Лучшая коллективная работа: tomanthony, todayisnew, hx01 и shubs.

Мы гордимся тем, что нам выпала такая честь помогать HackerOne отмечать успехи и награждать этих людей за их стратегический этичный хакинг. 

Хакеры, участвовавшие в мероприятии H1-4420, провели расширенную оценку ошибок с использованием обычного подхода Common Vulnerability Scoring System (CVSS) и нового подхода Zoom Vulnerability Impact Scoring System (VISS). С VISS мы превзошли поверхностный анализ и оценили продемонстрированное влияние каждой ошибки на платформу Zoom.

Внедрив VISS в нашу программу Bug Bounty, мы даем нашему коллективу возможность эффективно выделять ресурсы и сосредоточиться на наиболее критических уязвимостях. Такой упреждающий подход улучшает нашу тактику обеспечения безопасности в целом, а значит, наши ценные клиенты будут пользоваться безопасной и защищенной средой. Стремление Zoom усилить методы обеспечения безопасности и заслужить доверие клиентов подкрепляется внедрением VISS, ведь мы постоянно стараемся работать на опережение в этой современной погоне за всеохватывающими мерами обеспечения безопасности.

В этом году для мероприятия компания Zoom также приготовила три сюрприза — дополнительные головоломки, которые должны решить участники. В каждой из трех головоломок нужно было взломать разные алгоритмы шифрования различными типами эксплуатации. Например, хакер по имени rez0 с помощью инструмента на базе ИИ создал новые списки слов для решения головоломки так называемым грубым методом. И мы продолжаем наблюдать, как хакеры применяют инструменты на базе ИИ, чтобы еще эффективнее обнаруживать и эксплуатировать уязвимости.

Мероприятие не ограничивалось одним лишь хакингом и обсуждением кибербезопасности. Мы также хотели создать веселую и непринужденную атмосферу для участников. Команда HackerOne устроила своего рода почтовое отделение, где хакеры могли отправлять открытки домой. Это был своеобразный приятный способ немного отвлечься от работы. Кроме того, у нас была стена-раскраска, на которой хакеры могли реализовать свои творческие идеи и почувствовать себя художниками. Мы уверены: сбалансированная и приятная обстановка способствует коллективной работе и генерации новых идей.

В прошлом финансовом году компания Zoom выдала 3,9 млн долл. США в виде вознаграждений сотням исследователей. Общая же сумма вознаграждений, выданных в рамках программы Bug Bounty с момента запуска, превысила 7 млн долл. США. Это вложение отражает наше стремление сохранить наивысший уровень безопасности и конфиденциальности наших клиентов.

Как и наша постоянно расширяющаяся программа Bug Bounty, такие мероприятия, как H1-4420, служат своего рода напоминанием о значимости упреждающих совместных усилий и коллективной работы для обеспечения кибербезопасности. Работая бок о бок с этичными хакерами со всего мира, мы можем действовать на опережение и устранить уязвимости, создав более безопасную среду для наших клиентов.

Чтобы узнать подробнее о нашей деятельности в сфере этичного хакинга и политике раскрытия информации об уязвимостях, перейдите на страницу нашей программы Bug Bounty.

Примечание редактора: эта запись блога была отредактирована 31 июля 2023 г.: в нее была добавлена наиболее актуальная информация о нашей программе Bug Bounty.