Bảo vệ Zoom và khách hàng của chúng tôi: nhìn lại thành công của chương trình săn lỗi năm 2022

Chúng tôi kiểm tra cơ sở hạ tầng hàng ngày tại Zoom, nhưng hiểu rằng chúng tôi không thể tránh khỏi các lỗ hổng chương trình nghiêm trọng. Vì vậy, chúng tôi nhờ đến biện pháp dự phòng — cộng đồng hacker có đạo đức đôi khi tìm ra những lỗi mà chỉ có thể phát hiện được trong một số trường hợp. 

Đó là lý do tại sao chương trình săn lỗi của chúng tôi tập trung tuyển mộ những nhà nghiên cứu có kỹ năng và làm việc hiệu quả. Năm 2022, chúng tôi gửi thêm lời mời tới các nhà nghiên cứu để tham gia chương trình HackerOne với trọng tâm là thu hút nhân tài đang làm việc trong lĩnh vực bảo mật. Chúng tôi cũng muốn tìm kiếm tài năng bên ngoài phạm vi chương trình, vì vậy chúng tôi đã tiếp cận cộng đồng thông qua các sự kiện ngành như H1-702.

Những nhà nghiên cứu này tận tụy hỗ trợ chúng tôi, vì vậy chúng tôi nỗ lực tôn vinh các báo cáo thành công được gửi đến. Trong năm tài chính 2023, chúng tôi đã trao 3,9 triệu USD tiền thưởng cho hàng trăm nhà nghiên cứu và tính đến nay, con số này là hơn 7 triệu USD kể từ khi chương trình bắt đầu. 

Ngoài việc xác định lỗ hổng, sự hỗ trợ từ các nhà nghiên cứu bên ngoài đã giúp chúng tôi đạt được những tiến bộ khác tại Zoom. Chúng tôi sử dụng các báo cáo này để chứng minh những vấn đề cần chú ý, đánh dấu nguyên nhân gốc rễ gây ra sự cố, giúp các phòng ban làm việc với nhau tốt hơn và tìm ra mối đe dọa tiềm ẩn trước khi chúng thực sự trở thành vấn đề. Nhờ đó, thời gian xử lý các báo cáo săn lỗi đã được cải thiện đáng kể trong hai năm qua.

Vào đầu năm nay, chúng tôi đã cơ cấu lại đội ngũ và phát triển các bản cập nhật chương trình cho năm tài chính 2024. Chúng tôi đánh giá nhà nghiên cứu hiện đang tham gia chương trình để đảm bảo ai cũng đang tham gia và có đóng góp. Chúng tôi muốn nỗ lực hết mình trong năm mới và tất cả bắt đầu từ việc hợp tác với các nhà nghiên cứu làm việc hiệu quả và có chất lượng cao.

Chương trình săn lỗi của Zoom cũng đang triển khai hệ thống chấm điểm tác động lỗ hổng hoàn toàn mới nhằm giúp nhà nghiên cứu thực hiện công việc tốt nhất. Mặc dù chúng tôi sẽ tiếp tục sử dụng Hệ thống chấm điểm lỗ hổng chung (CVSS) theo tiêu chuẩn ngành để chấm điểm các báo cáo, chúng tôi cũng đang phát triển chương trình để thêm hệ thống chấm điểm bổ trợ mang tên Hệ thống chấm điểm tác động lỗ hổng (VISS). Hệ thống này phân tích 13 khía cạnh tác động khác nhau cho từng lỗ hổng được báo cáo vì chúng liên quan đến cơ sở hạ tầng, công nghệ và bảo mật dữ liệu khách hàng của Zoom. Với việc triển khai VISS, Chương trình săn lỗi có thể tập trung nhiều hơn vào việc đo lường tác động đã được chứng minh có trách nhiệm, thay vì khả năng khai thác trên lý thuyết.

Do chương trình săn lỗi của Zoom đã phát triển trong năm qua, chúng tôi vẫn sẽ tiếp tục cải tiến và hoàn thiện quy trình, giải thưởng săn lỗi và phạm vi kiểm thử. Chúng tôi rất hào hứng về tác động của hệ thống chấm điểm mới và tất cả những điều tốt đẹp mà các nhà nghiên cứu có thể đạt được vào năm 2023. 

Nếu bạn muốn hỗ trợ để giúp Zoom trở nên bảo mật hơn, hãy gửi email tên hồ sơ HackerOne của bạn tới bugbounty@zoom.us hoặc truy cập trang nghề nghiệp Zoom để xem những vị trí hiện đang tuyển dụng trong nhóm Tin cậy và bảo mật. Cùng hack vui vẻ nào!

Để tìm hiểu thêm về quyền riêng tư và bảo mật của Zoom, tham khảo Trust Center của chúng tôi.