En tillbakablick på året: Vad 2023 års belöningsprogram för fel innebär för Zooms säkerhet

På Zoom är säkerheten alltid i fokus och en löpande investering som vi fortsätter att satsa på genom en mängd olika program och initiativ. Zooms belöningsprogram för fel är ett sådant initiativ. Det syftar till att förbättra säkerheten online och är ett lysande exempel på samarbete, innovation och de ständiga förbättringar som omfattar hela Zoom-communityn. Sedan 2019 har vi samarbetat aktivt med forskarvärlden och vi kan nu stolt meddela att vi har betalat ut mer än tio miljoner USD i belöningar för upptäckta fel för att stärka Zooms försvar och skydda våra användares integritet och säkerhet. 

Zooms belöningsprogram för fel är utformat för att uppmuntra upptäckter och ansvarsfullt rapporterande av säkerhetssårbarheter. Under de senaste två åren har vi infört en effektiv process för att säkerställa att vi kan reagera och svara snabbt på alla säkerhetsrapporter. När en av våra över 800 forskare har upptäckt och rapporterat ett fel analyseras och reproduceras rapporten av vårt säkerhetsteam, som sedan skickar den till rätt internt utvecklingsteam för åtgärdande, oftast inom bara några timmar. 

Under de senaste dryga tre åren har Zoom arbetat för att minska kostnaden per rapport för programdrift, samtidigt som vi har ökat antalet identifierade sårbarheter som har en konkret inverkan på vår plattform. På bara tre år har vi minskat kostnaden per giltig rapport med 40 % och fått fler än dubbelt så många inskickade rapporter.

VISS

I januari 2023 åtog sig feljägarteamet att bygga, finjustera och lansera en innovativ ny mekanism för att mäta den faktiska påverkan som utnyttjandet av en sårbarhet har på ett system. Den implementering av Vulnerability Impact Scoring System, eller VISS, som skedde i mars var resultatet av det här samarbetet, vilket vi publicerade öppet på Github. 

Zoom har använt VISS i mer än ett år och har sett ett växande intresse från andra feljägarteam som letar efter ett mer objektivt mått på sårbarhetspåverkan. Hittills har samarbetet varit givande och feedbacken om VISS har varit positiv. Säkerhetsforskare bidrar också med feedback, vilket ökar samarbetet och fokuset på VISS och Zooms transparenta strategi för hur vi hanterar belöning för hittade fel.

”Med VISS kan vi skräddarsy säkerhetsforskarnas arbete så att vi fokuserar på det som är viktigast och gör störst skillnad. Sedan anpassar vi våra utbetalningar i enlighet med det", förklarar Michael Adams, Zooms IT- och säkerhetschef. ”Jag vill inte bara betala en skälig summa, utan även skapa ett motiverande incitament, och om jag inte kan skapa ett tydligt poängsystem blir det svårt att förstå. Nu kan vi erbjuda en viss nivå av tydlighet”, säger Adams.

Ta en titt på de fullständiga VISS-specifikationerna om du vill fördjupa dig i detaljerna och testa Zooms implementering av VISS-kalkylatorn.

HackerOne

Vi är även mycket glada över att ha kunnat sponsra årets HackerOne H1-4420-evenemang på CodeNode i London den 22 juni 2023. Det här evenemanget gav oss en ovärderlig möjlighet att samarbeta med över 90 av världens mest begåvade, etiska hackare från 41 länder, som tillsammans hjälptes åt att förbättra Zoom-plattformens säkerhet. Genom att aktivt samarbeta med den här communityn kan vi inte bara motverka riskerna, men även främja innovation och fortsätta att förbättra våra tjänster. Här är en sammanfattning av evenemanget.

Belöningar för hittade fel

2023 var ett stort år för oss eftersom vi betalade ut mer än 2,4 miljoner USD i belöningar för upptäckta fel för fler än 1 000 enskilda giltiga rapporter som skickats in av fler än 200 olika säkerhetsforskare. Den totala summan för alla belöningar för hittade fel blev mer än tio miljoner USD.

Allt eftersom artificiell intelligens och maskininlärning blir mer och mer integrerade i Zooms produkter har Zooms feljägarteam arbetat med många av våra främsta forskare för att identifiera sårbarheter. Den generativa AI:ns framväxt medför nya säkerhets- och integritetsrisker, inklusive spridande av desinformation, dataförgiftning och exfiltrering av data. Genom att använda funktionen för kampanjer inom våra VIP-program tillhandahåller HackerOne-plattformen all den bakomliggande processorkraft som Zoom behöver för att kunna ha meningsfulla, dubbelriktade samarbeten med forskare. 

Utöver vårt fokus på AI har vi en gedigen uppsättning funktioner som vi planerar att lansera i år som en del av vår färdplan för 2024. Med detta i åtanke ser vi fram emot en våg av nya rapporter från vår ”Spring BREAKAGE”-kampanj som inleddes den 1 april 2024 och pågår under hela april. Vi har lagt till flera nya funktioner i testets omfång och ökat belöningarna för den här kampanjen.

Om du är intresserad av att bidra till att göra Zoom säkrare kan du skicka ditt HackerOne-profilnamn i ett e-postmeddelande till bugbounty@zoom.us eller besöka Zooms sida för jobbmöjligheter för att se de lediga tjänsterna inom tillits- och säkerhetsteamen. Lycka till med hackandet!

Om du vill veta mer om integritet och säkerhet i Zoom kan du besöka vårt tillitscenter. Hittat ett fel? Skicka in ett sårbarhetsärende här.