Đánh giá năm: Ý nghĩa của Chương trình săn lỗi năm 2023 đối với bảo mật Zoom

Bảo mật vẫn luôn là trọng tâm tại Zoom và là khoản đầu tư liên tục mà chúng tôi vẫn cam kết thực hiện thông qua nhiều chương trình và sáng kiến. Chương trình săn lỗi Zoom là một trong những sáng kiến như vậy nhằm tăng cường tính khả năng bảo mật trực tuyến và là một ví dụ điển hình về việc cộng tác, đổi mới và không ngừng cải thiện bao trùm toàn bộ cộng đồng Zoom. Kể từ năm 2019, chúng tôi vẫn luôn chủ động hợp tác với cộng đồng các nhà nghiên cứu và giờ đây, chúng tôi xin vui mừng thông báo đã trao hơn 10 triệu USD tiền thưởng săn lỗi để giúp củng cố khả năng phòng thủ của Zoom cũng như bảo vệ quyền riêng tư và bảo mật của người dùng. 

Chương trình săn lỗi của Zoom được thiết kế để khuyến khích hoạt động phát hiện và tiết lộ có trách nhiệm về các lỗ hổng bảo mật. Trong hai năm qua, chúng tôi đã triển khai một quy trình hợp lý để đảm bảo phản ứng và phản hồi nhanh chóng đối với tất cả các báo cáo bảo mật. Sau khi một trong hơn 800 nhà nghiên cứu của chúng tôi phát hiện và gửi lỗi, nhóm bảo mật của chúng tôi sẽ phân tích, tái tạo lỗi và gửi báo cáo đến nhóm phát triển nội bộ phù hợp để khắc phục, trung bình chỉ trong vòng vài giờ. 

Trong hơn 3 năm qua, Zoom đã giảm chi phí vận hành chương trình trên mỗi báo cáo, đồng thời tăng cường khả năng xác định các lỗ hổng có tác động rõ rệt đến nền tảng của chúng tôi. Chỉ trong ba năm, chúng tôi đã giảm 40% chi phí cho mỗi báo cáo hợp lệ và nhận thấy số báo cáo được gửi tăng hơn gấp đôi.

VISS

Vào tháng 1 năm 2023, nhóm Săn lỗi đã cam kết xây dựng, tinh chỉnh và phát hành một cơ chế sáng tạo mới để đo lường tác động trong thế giới thực của việc khai thác lỗ hổng đối với hệ thống. Việc triển khai Hệ thống chấm điểm tác động lỗ hổng hay VISS vào tháng 3 là kết quả của nỗ lực hợp tác mà chúng tôi đã đưa mã nguồn mở lên Github. 

Zoom đã sử dụng VISS trong hơn một năm và nhận thấy các nhóm săn lỗi khác đang tìm kiếm một thước đo khách quan hơn cho tác động của lỗ hổng ngày càng quan tâm đến VISS. Đến nay, quá trình cộng tác và phản hồi về VISS đều rất tích cực. Các nhà nghiên cứu bảo mật cũng đang đóng góp phản hồi, qua đó củng cố việc cộng tác và tập trung vào VISS, cũng như cách tiếp cận minh bạch của Zooms đối với việc quản lý săn lỗi.

Giám đốc An toàn Thông tin (CISO) Michael Adams của Zoom giải thích: “VISS cho phép chúng tôi tùy chỉnh công việc của các nhà nghiên cứu bảo mật để chúng tôi tập trung vào những điều quan trọng nhất, có mức độ tác động cao nhất và sau đó, định hướng các khoản thanh toán cho phù hợp. Tôi không chỉ muốn thanh toán cho phù hợp mà còn muốn khuyến khích cho phù hợp. Và nếu hệ thống chấm điểm của tôi không rõ ràng thì họ sẽ khó mà hiểu được. Hiện giờ thì chúng tôi có thể đảm bảo một mức độ rõ ràng nhất định”.

Để tìm hiểu chi tiết cụ thể và thử hoạt động triển khai công cụ tính VISS của Zoom, hãy xem thông số VISS đầy đủ.

HackerOne

Chúng tôi cũng rất vui mừng được trở thành nhà tài trợ cho sự kiện HackerOne H1-4420 năm nay, đã diễn ra vào ngày 22 tháng 6 năm 2023 tại CodeNode ở London. Sự kiện này mang đến cho chúng tôi cơ hội vô giá để cộng tác với hơn 90 hacker có đạo đức tài năng nhất đến từ 41 quốc gia, tất cả cùng hợp tác để giúp tăng cường tính bảo mật của nền tảng Zoom. Thông qua việc chủ động hợp tác với cộng đồng này, chúng tôi không chỉ có thể giảm thiểu rủi ro mà còn có thể thúc đẩy sự đổi mới và không ngừng cải thiện dịch vụ của mình. Sau đây là phần tóm tắt về sự kiện.

Tiền thưởng săn lỗi

Năm 2023 là một năm quan trọng đối với chúng tôi khi thanh toán tiền thưởng săn lỗi với giá trị hơn 2,4 triệu USD cho hơn 1.000 báo cáo hợp lệ riêng biệt từ hơn 200 nhà nghiên cứu bảo mật khác nhau. Khoản tiền này đã nâng tổng số tiền thưởng săn lỗi cộng dồn lên đến hơn 10 triệu USD.

Khi trí tuệ nhân tạo và máy học được tích hợp chặt chẽ hơn vào các sản phẩm Zoom, nhóm Săn lỗi của Zoom vẫn luôn bận rộn hợp tác với nhiều nhà nghiên cứu hàng đầu của chúng tôi để xác định các lỗ hổng. Sự phát triển của AI tạo sinh dẫn đến các rủi ro mới về bảo mật và quyền riêng tư, bao gồm thông tin sai lệch, đầu độc dữ liệu và đánh cắp dữ liệu. Thông qua chức năng Chiến dịch trong các chương trình VIP của chúng tôi, nền tảng HackerOne cung cấp tất cả khả năng xử lý backend mà Zoom cần để có được sự cộng tác hai chiều hiệu quả với các nhà nghiên cứu. 

Ngoài việc tập trung vào AI, chúng tôi còn có một bộ tính năng mạnh mẽ, dự kiến sẽ phát hành trong năm nay theo lộ trình năm 2024 của chúng tôi. Với suy nghĩ này, chúng tôi mong chờ sẽ nhận được làn sóng báo cáo mới từ chương trình xúc tiến “Spring BREAKAGE” của chúng tôi, bắt đầu từ ngày 1 tháng 4 năm 2024 và kéo dài trong suốt tháng 4. Chúng tôi đã thêm một số tính năng mới vào phạm vi thử nghiệm và tăng tiền thưởng cho chương trình xúc tiến này.

Nếu bạn muốn hỗ trợ để giúp Zoom trở nên bảo mật hơn, hãy gửi email tên hồ sơ HackerOne của bạn tới bugbounty@zoom.us hoặc truy cập trang nghề nghiệp Zoom để xem xét những vị trí đang tuyển dụng trong nhóm Tin cậy và Bảo mật. Chúc bạn hack vui vẻ!

Để tìm hiểu thêm về quyền riêng tư và bảo mật của Zoom, hãy truy cập Trung tâm tin cậy của chúng tôi. Bạn tìm thấy lỗi? Hãy gửi vấn đề về lỗ hổng tại đây.