Bảo mật và quyền riêng tư

Bảo vệ Zoom và khách hàng của chúng tôi: nhìn lại thành công của chương trình săn lỗi năm 2022

Hãy cùng điểm lại những thành tựu mà chương trình săn lỗi của Zoom đã đạt được trong năm qua.
3 số phút đọc

Cập nhật vào March 19, 2023

Đăng vào March 20, 2023

Chương trình săn lỗi năm 2022

Nhìn lại năm 2022 

Trong lĩnh vực bảo mật, vấn đề then chốt là ai tìm ra lỗi trước. Chúng tôi chạy đua để xác định lỗi và sự cố trước khi những kẻ xấu làm điều đó. Vì vậy, chúng tôi đã tận dụng cộng đồng hacker có đạo đức để có thể dẫn trước.

Chúng tôi nhận được trợ giúp này thông qua chương trình săn lỗi của Zoom, cho phép chúng tôi kết nối và thuê tuyển các chuyên gia nghiên cứu để giúp chúng tôi chủ động giảm thiểu rủi ro và tạo môi trường an toàn hơn cho khách hàng. Và trong năm qua, cộng đồng chúng tôi đã đạt được nhiều thành tựu. Hãy cùng điểm lại: 

Cập nhật chương trình cho năm 2023 và các năm sau đó 

Chúng tôi kiểm tra cơ sở hạ tầng hàng ngày tại Zoom, nhưng hiểu rằng chúng tôi không thể tránh khỏi các lỗ hổng chương trình nghiêm trọng. Vì vậy, chúng tôi nhờ đến biện pháp dự phòng — cộng đồng hacker có đạo đức đôi khi tìm ra những lỗi mà chỉ có thể phát hiện được trong một số trường hợp. 

Đó là lý do tại sao chương trình săn lỗi của chúng tôi tập trung tuyển mộ những nhà nghiên cứu có kỹ năng và làm việc hiệu quả. Năm 2022, chúng tôi gửi thêm lời mời tới các nhà nghiên cứu để tham gia chương trình HackerOne với trọng tâm là thu hút nhân tài đang làm việc trong lĩnh vực bảo mật. Chúng tôi cũng muốn tìm kiếm tài năng bên ngoài phạm vi chương trình, vì vậy chúng tôi đã tiếp cận cộng đồng thông qua các sự kiện ngành như H1-702.

Những nhà nghiên cứu này tận tụy hỗ trợ chúng tôi, vì vậy chúng tôi nỗ lực tôn vinh các báo cáo thành công được gửi đến. Trong năm tài chính 2023, chúng tôi đã trao 3,9 triệu USD tiền thưởng cho hàng trăm nhà nghiên cứu và tính đến nay, con số này là hơn 7 triệu USD kể từ khi chương trình bắt đầu. 

Ngoài việc xác định lỗ hổng, sự hỗ trợ từ các nhà nghiên cứu bên ngoài đã giúp chúng tôi đạt được những tiến bộ khác tại Zoom. Chúng tôi sử dụng các báo cáo này để chứng minh những vấn đề cần chú ý, đánh dấu nguyên nhân gốc rễ gây ra sự cố, giúp các phòng ban làm việc với nhau tốt hơn và tìm ra mối đe dọa tiềm ẩn trước khi chúng thực sự trở thành vấn đề. Nhờ đó, thời gian xử lý các báo cáo săn lỗi đã được cải thiện đáng kể trong hai năm qua.

Kế hoạch trong tương lai 

Vào đầu năm nay, chúng tôi đã cơ cấu lại đội ngũ và phát triển các bản cập nhật chương trình cho năm tài chính 2024. Chúng tôi đánh giá nhà nghiên cứu hiện đang tham gia chương trình để đảm bảo ai cũng đang tham gia và có đóng góp. Chúng tôi muốn nỗ lực hết mình trong năm mới và tất cả bắt đầu từ việc hợp tác với các nhà nghiên cứu làm việc hiệu quả và có chất lượng cao.

Chương trình săn lỗi của Zoom cũng đang triển khai hệ thống chấm điểm tác động lỗ hổng hoàn toàn mới nhằm giúp nhà nghiên cứu thực hiện công việc tốt nhất. Mặc dù chúng tôi sẽ tiếp tục sử dụng Hệ thống chấm điểm lỗ hổng chung (CVSS) theo tiêu chuẩn ngành để chấm điểm các báo cáo, chúng tôi cũng đang phát triển chương trình để thêm hệ thống chấm điểm bổ trợ mang tên Hệ thống chấm điểm tác động lỗ hổng (VISS). Hệ thống này phân tích 13 khía cạnh tác động khác nhau cho từng lỗ hổng được báo cáo vì chúng liên quan đến cơ sở hạ tầng, công nghệ và bảo mật dữ liệu khách hàng của Zoom. Với việc triển khai VISS, Chương trình săn lỗi có thể tập trung nhiều hơn vào việc đo lường tác động đã được chứng minh có trách nhiệm, thay vì khả năng khai thác trên lý thuyết.

Khách hàng của chúng tôi yêu thích chúng tôi

Okta
Nasdaq
Rakuten
Logitech
Western Union
Autodesk
Dropbox
Okta
Nasdaq
Rakuten
Logitech
Western Union
Autodesk
Dropbox

Zoom - Nơi bạn kết nối