Zoom’un Hata Yakalama Ödül Programı: 2021'in Özeti

Çözümlerimiz ve altyapımız Zoom tarafından her gün test edilse de bu test işlemlerinin sadece belirli kullanım durumlarında ve şartlarda belirlenebilecek olan ekstrem durumlardaki güvenlik açıklarının belirlenmesi konusunda iyi niyetli bilgisayar korsanlarının desteğiyle geliştirmenin önemli olduğunu biliyoruz.

İşte bu nedenle, Zoom olarak, güvenliğe odaklanan uzmanların bünyemize toplanması ve dahil edilmesi konusunda endüstrinin önde gelen tedarikçisi olan HackerOne’ın platformunda sunulan özel bir hata yakalama ödül programı yoluyla güvenlik araştırmacılarından oluşan kalifiye ve küresel bir ekibe yatırım yaptık. Davete dayalı olan özel hata yakalama ödül programları, şirketlerin güvenlik araştırmacılarını söz konusu araştırmacıların geçmiş çalışmalarını esas alarak dikkatle seçmesine olanak verir. HackerOne, araştırmacıların bulgularının ne kadar ilişkili ve uygulanabilir olduğunun ölçülmesini sağlayan sinyal-gürültü oranlarına, katkıda bulundukları programlarda yarattıkları etkiye ve itibarlarına dayalı olarak her araştırmacı için istatistikler hesaplar.  

Zoom, HackerOne platformunda 800'den fazla güvenlik araştırmacısını toplamıştır. Araştırmacıların program uygulamaya alındığından beri sergiledikleri kolektif çalışmalar, sayısız hata raporunun gönderilmesiyle ve ödül ödemesi, promosyon ve hediye olarak 2,4 milyon ABD doları değerinde ödülün sunulmasıyla sonuçlanmıştır. Sadece 2021 yılında, Zoom tarafından 401 rapor karşılığında 1,8 milyon ABD dolarından fazla ödül sunulmuştur. Başta “İlk 10” listemize giren aşağıdaki araştırmacılar olmak üzere büyük bir sorumluluk bilinciyle hataları Zoom'a ifşa eden herkese teşekkür ederiz:

Geride bıraktığımız yılda, Güvenlik Açığı Yönetimi ve Hata Yakalama Ödül (Vulnerability Management and Bug Bounty - VMBB) ekibimiz, rekabetçi toplama ortamını yönetmeye ve daha çok sayıda “rock yıldızı” güvenlik araştırmacısına harika bir deneyim sunarak kendilerinin ilgisini programımıza çekmeye odaklanmıştır.

En iyi yetenekleri çekmek amacıyla programımızın gidişatını belirlemek ve daha iyi olmasını sağlamak için aşağıdaki beş ilkeyi uygulama konmuştur:

• Hangi tür testlere izin verildiğini, programın “Güvenli Liman” politikasına ilişkin ayrıntıları ve belirli güvenlik açığı raporları için yapılabilecek hata yakalama ödeme aralığı menüsünü ifade eden net ve kesin program politikalarının oluşturulması.
  
• Bir hata yakalama programının “kapsamı” olarak da bilinen saldırı alanının genişliğinin istikrarlı bir şekilde artırılması ve nelerin kapsam dışında olduğunun ve nelere izin verilmediğinin net bir şekilde tanımlanması.
  
• Programdaki yanıtlama, düzeltme ve ödeme zaman aralıklarının en aza indirilmesi. Kimse sesinin duyulduğunu hissetmek veya yaptığı çalışmanın karşılığı olan ödemeyi almak için beklemek istemez; buna iyi niyetli bilgisayar korsanları da dahildir.
  
• Hata yakalama ödül programını yöneten, gönderilen raporların önceliklerini belirleyen ve ödül ödemelerini belirleyen Zoom çalışanlarıyla profesyonel ilişkiler ve doğrudan iletişim kurulması.
  
• Araştırmacılar tarafından sergilenen çalışmaları ve bir güvenlik açığının ifşa edilmesi durumunda yol açacağı etkinin ciddiyetini doğru bir şekilde yansıtan rekabetçi ödüller sunulması.

Zoom, mevcut araştırmacıları desteklemek ve yeni araştırmacıları çekmek için, 2021 yılında programımızda bazı önemli güncellemeler yapmıştır. Bu güncellemelerden bazıları şöyledir:

• Yalnızca bildirilen güvenlik açığının ciddiyetine dayanan statik ödül ödemesi aralığının kullanımı bırakılmış ve bir “Ödül Menüsü” uygulamasına geçilmiştir. Bu menü, bulunan güvenlik açığının türüne ve söz konusu güvenlik açığının Zoom'un kullanıcıları ve altyapısı üzerinde yaratabileceği etkisine dayalı olarak araştırmacılara belirli ödül miktarları sunar. Zoom, Ocak 2021'de, tek bir rapor için ödemelerin üst sınırını 50.000 ABD dolarına ve alt sınırını 250 ABD dolarına yükseltmiştir.

• Sadece güvenlik araştırmacılarının değil, herkesin Zoom'a güvenlik açığı raporları göndermesine olanak veren herkese açık bir Güvenlik Açığı İfşa Programı (Vulnerability Disclosure Program - VDP) uygulamaya konmuştur. Bu uygulama sayesinde raporların alınması daha kolay hale getirilip Zoom bünyesinde doğru ekiplerin derhal konuya dahil olmasına olanak sağlanarak en nihayetinde hataların daha hızlı düzeltilmesi ve ürünlerin daha güvenli olması sağlanmıştır.

• Ekim 2021'de VIP Hata Yakalama Ödül Programımız uygulamaya konmuştur. Bu programda, Zoom çözümlerinin lisanslı sürümlerine odaklanılmaktadır ve güvenlik testlerinin kapsamları genişletilmiştir.
  
• 2021 yılı boyunca Zoom VMBB ekibi; ilk yanıt, öncelik belirleme, düzeltme ve ödül ödeme sürelerinin azaltılmasına odaklanmıştır. Mevcut ölçümlerimize göre ortalama ilk yanıt süresi dört saatin biraz altındadır ve gelen bir raporun önceliğinin belirlenmesi 48 saatten daha az sürmektedir. Ödül ödemelerinin ekip tarafından haftada bir kez görüşülüp incelenmesi sayesinde ödüller rapor gönderildikten sonra genellikle 14 gün içinde ödenmektedir.

• Zoom, araştırmacılarımızla süregiden ilişkiler oluşturmak için, dünyanın dört bir yanındaki araştırmacıların katıldığı çok sayıda tanışma amaçlı Zoom toplantısı düzenlemiştir. İyi niyetli bilgisayar korsanları topluluğunda üniversite öğrencilerinden profesörlere, bilgisayar korsanlığını yeni öğrenen yetenekli gençlerden “tuhaf bir şey fark eden” günlük Zoom kullanıcılarına uzanan inanılmaz bir çeşitlilik vardır.

2021 yılında çok şey öğrendik ve ciddi büyüme kaydettik, 2022 yılında bu çabalarımızın kapsamını daha da genişleterek daha fazla sayıda iyi niyetli bilgisayar korsanıyla çalışacağımız için çok heyecanlıyız. Siz de Zoom'u daha güvenli bir hale getirmeye ilgi duyuyorsanız HackerOne profil adınızı bugbounty@zoom.us adresine gönderebilir veya Zoom kariyer olanakları sayfasını ziyaret ederek Güven ve Güvenlik ekibimizdeki açık pozisyonları inceleyebilirsiniz. Mutlu korsanlıklar!

Zoom gizliliği ve güvenliği hakkında daha fazla bilgi için Güven Merkezimizi ziyaret edin.