Zoom’un ve müşterilerimizin korunması: Hata Yakalama Ödül programımızın 2022’deki başarısına bir bakış

Güvenlik ile ilgili en önemli nokta, kimin önce o noktaya ulaşacağıdır. Hataları ve sorunları kötü adamlardan önce tespit etmek üzere yarış halindeyiz. Bu yüzden, bunları daha önce fark etmemize yardımcı olan iyi niyetli bilgisayar korsanları toplumunu ödüllendiriyoruz.

Bu yardımı Zoom Hata Yakalama Ödül programımız aracılığıyla alıyoruz. Bu program, riskleri daha ortaya çıkmadan önce hafifletmemize ve müşterilerimize daha güvenli bir ortam oluşturmamıza yardım eden uzman araştırmacılarla bağlantıya geçmemizi ve onları görevlendirmemizi sağlıyor. Geçtiğimiz yıl, topluluk olarak pek çok başarıya ulaştık. Başarılarımızın bir özetini burada sunuyoruz:

Zoom’da altyapımızı her gün test ediyoruz ama ekstrem durumlardaki güvenlik açıklarına karşı savunmasız kalabiliyoruz. Bu yüzden destek çağırıyoruz. İyi niyetli bilgisayar korsanları topluluğu bazen yalnızca belirli durumlarda keşfedilebilen hataları tespit ederler.

Bu yüzden, hata yakalama ödül programımız yetenekli ve etkin araştırmacıları görevlendirmeye odaklanır. 2022 yılında, aktif güvenlik yeteneklerini kendimize çekmeye odaklanarak araştırmacılara HackerOne programımıza katılmaları için ek davetler gönderdik. Yetenekleri bulmak için programımızın ötesine de geçmeyi istiyoruz. Bu sebeple H1-702 gibi sektör olayları aracılığıyla topluluk ile temasa geçtik.

Bu araştırmacılar bize yardım etmek için çok çalışıyor. Bu yüzden, başarılı rapor gönderimlerini bu doğrultuda ödüllendirmeye gayret ediyoruz. 2023 mali yılında, yüzlerce araştırmacıya ödül olarak 3,9 milyon dolar dağıttık. Programın başlangıcından bu yana dağıttığımız miktar 7 milyon doları aştı.

Dışarıdan gelen araştırmacıların desteği, açıkları tespit etmenin yanı sıra Zoom’da başka biçimlerde ilerleme kaydetmemize de yardımcı oldu. Bu raporları dikkat gerektiren öğeleri göstermek, sorunların ana sebeplerini ortaya çıkarmak, birimler arasında daha iyi uyum sağlamak ve potansiyel tehditleri bir soruna dönüşmeden önce bulmak için kullandık. Sonuç olarak, hata yakalama raporları doğrultusunda çözüme ulaşma süremiz son iki yılda önemli bir ilerleme kaydetti.

Bu yılın başında, ekibimizi yeniden yapılandırdık ve MY24 için programda güncellemeler geliştirdik. Herkesin etkin olduğundan ve katkıda bulunduğundan emin olmak için halihazırda programımızda bulunan araştırmacıları değerlendirdik. Yeni yılda doğru bir adım atmak istiyoruz ve bunun için yapılması gereken ilk şey yüksek vasıflı, etkin araştırmacılarla yola çıkmak.

Zoom’un Hata Yakalama Ödül programı, araştırmacıların ellerinden gelenin en iyisini yapmalarına yardımcı olmak için yepyeni bir güvenlik açığı etkisini puanlandırma sistemini de uyguluyor. Raporları puanlandırmak için sektör standardı olan Ortak Güvenlik Açığı Puanlama Sistemini (CVSS) kullanmaya devam ederken, programımıza her bir güvenlik açığının 13 farklı yönünü Zoom altyapısı, teknolojisi ve müşteri verilerinin güvenliği ile ilişkilendirerek analiz eden Güvenlik Açığı Etkisi Puanlama Sistemi (VISS) adındaki ek bir puanlama sistemini de eklemek üzere güncellemeler yapıyoruz. VISS’in uygulanması sayesinde Hata Yakalama programındakiler, teorik kötüye kullanma olasılığı yerine sorumluluk bilinciyle gösterilen etkiyi ölçmeye daha çok odaklanabilir.

Zoom Hata Yakalama Ödül programı geçen yıldan bu yana büyüdükçe biz de süreçlerimizi, ödüllerimizi ve test kapsamımızı geliştirmeye ve olgunlaştırmaya devam ediyoruz. Yeni puanlama sistemimizin ve araştırmacılarımızın 2023 yılında yapabildikleri tüm iyi şeylerin etkisini göreceğimiz için büyük bir heyecan duyuyoruz. 

Siz de Zoom’u daha güvenli bir hale getirmeye ilgi duyuyorsanız HackerOne profil adınızı bugbounty@zoom.us adresine gönderebilir veya Zoom kariyer olanakları sayfasını ziyaret ederek Güven ve Güvenlik ekibimizdeki açık pozisyonları inceleyebilirsiniz. Mutlu korsanlıklar!

Zoom gizliliği ve güvenliği hakkında daha fazla bilgi için Güven Merkezimizi ziyaret edin.