Yıl değerlendirmesi: 2023 Hata Yakalama Ödül programımız Zoom güvenliği için ne anlama geliyor?

Güvenlik, Zoom'da sürekli odaklandığımız bir konu olmanın yanı sıra, çeşitli programlar ve girişimler aracılığıyla kararlılıkla sürdürdüğümüz bir yatırımdır. Zoom Hata Yakalama Ödül Programı, çevrimiçi güvenliği artırmayı amaçlayan bu tür girişimlerden biridir ve tüm Zoom topluluğunu kapsayan iş birliği, inovasyon ve sürekli iyileştirmenin başarılı bir örneğidir. 2019'dan bu yana araştırmacı topluluğuyla aktif olarak çalışıyoruz ve şimdi Zoom'un savunmasını güçlendirmeye ve kullanıcılarımızın gizliliği ile güvenliğini korumaya yardımcı olmak için 10 milyon ABD dolarından fazla hata yakalama ödülü verdiğimizi duyurmaktan mutluluk duyuyoruz. 

Zoom'un Hata Yakalama Ödül Programı, güvenlik açıklarının keşfedilmesini ve sorumlu bir şekilde ifşa edilmesini teşvik etmek için tasarlanmıştır. Geçtiğimiz iki yıl içinde, tüm güvenlik raporlarına hızlı reaksiyon gösterilmesini ve yanıt verilmesini sağlamak için kolaylaştırılmış bir süreç uyguladık. Bir hata, 800'den fazla araştırmacımızdan biri tarafından tespit edilip gönderildikten sonra güvenlik ekibimiz raporu analiz eder, yeniden tasarlar ve ortalama olarak sadece birkaç saat içinde çözüme ulaştırılmak üzere şirket içindeki ilgili geliştirme ekibine gönderir. 

Zoom, 3 yılı aşkın süredir program operasyonunun rapor başına maliyetini düşürürken aynı zamanda platformumuz üzerinde somut bir etkisi olan güvenlik açıklarının daha yüksek oranda tespit edilmesini sağlıyor. Sadece üç yıl içinde, geçerli rapor başına maliyeti %40 oranında düşürdük ve bildirilen hatalarda iki katından fazla artış elde ettik.

VISS

Ocak 2023'te Hata Yakalama Ödül ekibi, güvenlik açığı istismarının bir sistem üzerindeki gerçek etkisini ölçmek için yenilikçi bir mekanizma oluşturmayı, iyileştirmeyi ve yayınlamayı taahhüt etti. Güvenlik Açığı Etki Puanlama Sistemi (VISS) Mart uygulaması, Github'da açık kaynaklı olarak sunduğumuz bu iş birliğine dayalı çalışmanın sonucuydu. 

VISS'yi bir yıldan uzun süredir kullanan Zoom, güvenlik açığı etkisinin daha objektif bir ölçüsünü isteyen diğer hata ödül ekiplerinden giderek daha fazla ilgi görüyor. Bugüne kadar VISS ile ilgili iş birliği ve geri bildirimler olumlu yöndedir. Güvenlik araştırmacıları da geri bildirimde bulunmakta ve bu da VISS'nin iş birliğini ve odağını ve Zoom'un hata ödül yönetimine ilişkin şeffaf yaklaşımını iyileştirmektedir.

Zoom CISO'su Michael Adams, "VISS, güvenlik araştırmacılarının çalışmalarını uyarlamamıza olanak tanıyor; böylece en önemli, en yüksek düzeyde etkiye sahip hususlara odaklanıyoruz ve ardından ödemelerimiz buna göre yönlendiriliyor." yorumunda bulundu ve ekledi: "Sadece uygun şekilde ödeme yapmak değil, aynı zamanda uygun şekilde teşvik sunmak istiyorum ve puanlama sistemimde netlik sağlayamazsam bunun anlaşılması zor olur. Artık belli bir ölçüde netlik sağlayabiliyoruz."

Ayrıntıları incelemek ve Zoom'un VISS hesaplama aracı uygulamasını denemek için VISS spesifikasyonunun tamamına göz atın.

HackerOne

Ayrıca, 22 Haziran 2023'te Londra'da CodeNode'da gerçekleşen bu yılki HackerOne H1-4420 etkinliğine sponsorluk yapmaktan büyük heyecan duyduk. Bu etkinlik, Zoom platformunun güvenliğini artırmaya yardımcı olmak için birlikte çalışan, 41 ülkeden 90'dan fazla yetenekli etik bilgisayar korsanıyla iş birliği yapmak için bize paha biçilmez bir fırsat sağladı. Bu toplulukla aktif bir şekilde etkileşim kurarak yalnızca riskleri azaltmakla kalmıyor, aynı zamanda inovasyonu teşvik ediyor ve hizmetlerimizi sürekli olarak geliştiriyoruz. Etkinliğin özetine buradan ulaşabilirsiniz.

Hata yakalama ödülleri

2023 bizim için önemli bir yıl oldu çünkü 200'den fazla farklı güvenlik araştırmacısı tarafından gönderilen 1.000'den fazla geçerli rapor için 2,4 milyon ABD dolarından fazla hata ödülü ödemesi yaptık. Bu tutar, toplam hata ödüllerini 10 milyon ABD dolarının üzerine çıkardı.

Yapay zeka ve makine öğrenimi Zoom ürünlerine yakından entegre edildiğinden Zoom Hata Yakalama Ödül ekibi güvenlik açıklarını belirlemek için en iyi araştırmacılarımızın çoğuyla iş birliği yapıyor. Üretken yapay zekanın yükselişi; yanlış bilgilendirme, veri zehirlenmesi ve veri sızıntısı gibi yeni güvenlik ve gizlilik risklerini beraberinde getiriyor. HackerOne platformu, VIP programlarımızdaki Kampanyalar işlevlerini kullanarak Zoom'un araştırmacılarla anlamlı ve çift yönlü iş birliği yapmak için ihtiyaç duyduğu tüm arka uç işlem gücünü sağlar. 

Yapay zekaya odaklanmaya ek olarak, 2024 yol haritamız kapsamında bu yıl yayınlanması planlanan güçlü bir dizi özelliğimiz var. Bu doğrultuda, 1 Nisan 2024'te başlayan ve Nisan ayı boyunca devam edecek olan "Spring BREAKAGE" promosyonumuzdan yeni hata bildirimlerini dört gözle bekliyoruz. Test kapsamına birkaç yeni özellik eklendi ve bu promosyon için ödüller artırıldı.

Siz de Zoom’u daha güvenli bir hale getirmeye ilgi duyuyorsanız HackerOne profil adınızı bugbounty@zoom.us adresine gönderebilir veya Zoom kariyer olanakları sayfasını ziyaret ederek Güven ve Güvenlik ekibimizdeki açık pozisyonları inceleyebilirsiniz. Mutlu korsanlıklar!

Zoom gizliliği ve güvenliği hakkında daha fazla bilgi için Güven Merkezimizi ziyaret edin. Bir hata mı buldunuz? Güvenlik açığı sorununu buradan bildirin.