Güvenlik ve Gizlilik

Geleceği güvenceye almak: Zoom, HackerOne ile H1-4420 etkinliğinde güçlerini birleştiriyor

22 Haziran’da Londra’daki CodeNode’da düzenlenen 2023 yılı HackerOne H1-4420 etkinliğine sponsor olmak bizim için heyecan vericiydi.
4 okuma süresi

Güncelleme tarihi August 02, 2023

Yayınlanma tarihi July 24, 2023

H1-4420 etkinliği

Dünyanın en iyi korsanları aynı yerde buluştu

Zoom'da güvenlik ve gizlilik sadece birer sözcükten ibaret değildir. Bunlar kültürümüzün ve temel girişimlerimizin bir parçasıdır. Sürekli değişen siber güvenlik ortamında, potansiyel tehditleri daha ortaya çıkmadan önce tespit etmenin ne kadar önemli olduğunu biliyoruz. Bu yüzden, güvenlik açıklarını zararlı aktörler tarafından istismar edilmeden önce tespit etmeye ve gidermeye yardımcı olmaları için etik korsanlık topluluğunun uzmanlığına başvuruyoruz. HackerOne ile kurduğumuz ortaklık ve onların canlı korsanlık etkinliklerine katılmamız da bu konuda attığımız adımlardan biridir.

HackerOne H1-4420'nin 22 Haziran 2023 tarihinde Londra'daki CodeNode'da bu yılki etkinliğine sponsor olmak bizim için heyecan vericiydi. Bu etkinlikte Zoom platformunun güvenliğini geliştirmeye yardım etmek için birlikte çalışan dünyanın en yetenekli etik korsanlarından bazılarıyla iş birliği için değerli bir fırsat yakaladık. Bu topluluk ile etkin bir iş birliği yoluyla hem riskleri hafifletebiliyoruz hem de inovasyonu geliştirerek hizmetlerimizi sürekli geliştirebiliyoruz.

Hata değerlendirmeleri: CVSS ve VISS ile güvenlik açığı hesaplamaları

H1-4420 etkinliğinde 41'i aşkın ülkeden 90'dan fazla güvenlik uzmanı hem şahsen hem de sanal katılımla bir araya geldi. Bu üstün yetenekli korsanlar, Zoom platformunu mercek altına alarak Zoom Mail ve Zoom Calendar'dan Zoom AI Companion'a kadar çeşitli ürünlerde ortaya çıkabilecek potansiyel güvenlik açıklarını araştırdı. Gösterdikleri gayret, ürünlerimizi geliştirmemiz ve müşterilerimizi daha iyi koruyabilmemiz açısından değerli bir destek sağlıyor. Katkıları için son derece minnettarız.

H1-4420'deki ödül programlarında ve diğer kategorilerde en başarılı olanlar:

Birincilik ve İmha Edici unvanı: cache-money

İkincilik ve İnfazcı unvanı: f6x

En iyi iş birliği: tomanthony, todayisnew, hx01 ve shubs.

HackerOne'ın yukarıdaki uzmanlarla stratejik etik korsanlığı desteklemesine ve kutlamasına katkıda bulunma fırsatını yakaladığımız için gurur duyuyoruz. 

Yapay zekanın kullanımı ve Zoom'un Paskalya Yumurtaları avı

H1-4420'ye katılan korsanlar, hem geleneksel Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) yaklaşımını hem de Zoom’un yeni Güvenlik Açığı Etkisi Puanlama Sistemini (VISS) kullanan gelişmiş bir hata değerlendirme sürecinden geçmiştir. VISS sayesinde, yüzey düzeyindeki analizlerden geçtik ve  her bir hatanın Zoom platformunda gösterdiği etkiyi değerlendirdik.

Hata yakalama ödül programımıza VISS'i dahil ederek, ekiplerimize kaynakları verimli bir şekilde tahsis etme ve en kritik güvenlik açıklarına odaklanma imkanı sağlıyoruz. Bu proaktif yaklaşım, genel güvenlik tutumumuzu geliştiriyor, değerli müşterilerimiz için güvenli ve emniyetli bir ortam sağlamamıza yardımcı oluyor. Zoom'un güçlü güvenlik uygulamamalarına ve müşterilerimizin güveninizi kazanmaya yönelik kararlılığı VISS'in uygulamaya konulmasında hayat buluyor ve sürekli olarak kapsamlı güvenlik önlemleri arayışımızda daima en önde yer alma gayretinde olduğumuzu gösteriyor.

Yaratıcılık ve eğlence bir arada: korsanlar için aktiviteler

Bu yılki etkinlikte Zoom, katılımcıların çözmesi için ek bulmacalar olarak üç Paskalya yumurtası oluşturdu. Bu üç bulmacanın her biri farklı istismar türleri yoluyla farklı şifreleme algoritmalarının kırılmasını içeriyordu. Bir örnekte, “rez0” adındaki bir korsan, bulmacayı çözmeye yönelik saldırı gücünü desteklemesi için yapay zeka aracından yeni sözcük listeleri üretmesi konusunda yardım aldı. Korsanların, güvenlik açıklarını tespit ve istismar etme çalışmalarında daha da üretken hale gelmek için yapay zeka araçlarından yararlandığını görmeye devam ediyoruz.

Araştırmacılara ödüller: Zoom Hata Yakalama ödül programının etkisi

Etkinlikte her şey sadece korsanlık ve siber güvenlik hakkındaki görüşmelerden ibaret değildi. Katılımcılarımız için eğlenceli ve dinlendirici bir ortam oluşturmayı da istedik. HackerOne korsanların evlerine kart postal göndererek işe keyifli bir ara vermesini sağlayan özel bir kartpostal istasyonu kurdu. Ayrıca, korsanların yaratıcılıklarını yansıtarak kendilerini sanatsal açıdan keyifli bir şekilde ifade etmelerini sağlayan bir boyama duvarımız vardı. Dengeli ve keyifli bir ortamın iş birliğini desteklediğine ve yeni fikirleri ateşlediğine inanıyoruz.

Kartpostal
Bir katılımcı, evine göndermek için bir kartpostal yazmaya başlar.

Müşterilerimiz bizi seviyor

Okta
Nasdaq
Rakuten
Logitech
Western Union
Autodesk
Dropbox
Okta
Nasdaq
Rakuten
Logitech
Western Union
Autodesk
Dropbox

Zoom - Tek Platformdan Bağlantı