Chương trình săn lỗi của Zoom: Đánh giá năm 2021

Zoom kiểm tra các giải pháp và cơ sở hạ tầng của mình hàng ngày, nhưng chúng tôi biết điều quan trọng là phải khai thác được cộng đồng hacker có đạo đức để bổ trợ cho việc kiểm tra, qua đó giúp phát hiện các lỗ hổng không dự đoán được mà chỉ có thể phát hiện ra trong một số trường hợp sử dụng và hoàn cảnh nhất định.

Đó là lý do vì sao Zoom đầu tư vào đội ngũ những nhà nghiên cứu bảo mật có kinh nghiệm trên toàn cầu qua chương trình săn lỗi riêng trên nền tảng của HackerOne, một nhà cung cấp hàng đầu trong ngành cho công tác tuyển dụng và thu hút các chuyên gia mạnh về bảo mật. Các chương trình săn lỗi riêng chỉ nhận những người tham gia được mời, cho phép các công ty tự tay chọn các nhà nghiên cứu bảo mật dựa trên công việc trước đây của họ. HackerOne tính toán số liệu thống kê cho từng nhà nghiên cứu dựa trên chỉ số đo lường giữa công suất của tín hiệu xuất ra và tạp âm, mức độ ảnh hưởng của các chương trình họ tham gia, và danh tiếng của họ. Tất cả những yếu tố này giúp đo lường mức độ phù hợp và tính thực tế trong kết quả điều tra nghiên cứu của họ.  

Zoom đã tuyển dụng hơn 800 nhà nghiên cứu bảo mật trên nền tảng HackerOne. Kể từ khi đưa ra chương trình, công việc tập thể của họ đã mang lại kết quả là rất nhiều báo cáo lỗi được gửi tới, hơn 2,4 triệu đô la giải thưởng được chi trả bằng tiền, đồ lưu niệm và quà tặng. Chỉ riêng trong năm 2021, Zoom đã trao thưởng hơn 1,8 triệu đô la cho 401 báo cáo. Chúng tôi muốn cảm ơn tất cả những người đã gửi thông báo lỗi đáng tin cậy tới cho Zoom, và đặc biệt nhất là những nhà nghiên cứu đã lọt vào "Top 10" của chúng tôi dưới đây:

Năm trước, nhóm Quản lý Lỗ hổng và Săn lỗi (VMBB) của chúng tôi đặt trọng tâm vào việc làm chủ một bối cảnh tuyển dụng cạnh tranh và thu hút thêm nhiều "ngôi sao tài năng" trong nghiên cứu bảo mật tham gia chương trình của mình bằng cách mang đến cho họ một trải nghiệm tuyệt vời.

Để thu hút nhân tài hàng đầu, chúng tôi đã thiết lập năm nguyên tắc sau giúp định hướng và cải thiện chương trình:

• Chính sách chương trình rõ ràng và ngắn gọn, chỉ rõ những loại kiểm tra nào được phép, thông tin chi tiết về chính sách “Bến cảng an toàn” của chương trình, và danh mục các phạm vi khoản chi trả tiền thưởng tiềm năng cho các loại báo cáo lỗ hổng cụ thể.
  
• Tăng cường nhất quán bề rộng của khu vực tấn công, hay còn được gọi là “phạm vi” của chương trình săn lỗi, và xác định rõ ràng những hạng mục cụ thể nào nằm ngoài phạm vi hoặc ngoài giới hạn.
  
• Giảm thiểu khung thời gian phản hồi, khắc phục, và thanh toán của chương trình. Không ai thích phải chờ đợi để được lắng nghe hay được trả công cho những gì họ làm, bao gồm cả những hacker có đạo đức.
  
• Những mối quan hệ chuyên nghiệp và giao tiếp trực tiếp với nhân viên Zoom, những người quản lý chương trình săn lỗi, phân loại báo cáo nhận được, và xác định các khoản thanh toán tiền thưởng.
  
• Tiền thưởng cạnh tranh phản ánh chính xác công việc mà các nhà nghiên cứu thực hiện và mức độ nghiêm trọng từ tác động có thể có của một lỗ hổng nếu bị khai thác.

Để hỗ trợ các nhà nghiên cứu hiện có và thu hút nhân lực mới, Zoom cũng đã triển khai nhiều cập nhật quan trọng cho chương trình săn lỗi trong năm 2021. Những cập nhật này gồm:

• Chúng tôi đã chuyển từ một phạm vi khoản tiền thưởng cố định chỉ dựa trên mức độ nghiêm trọng của lỗ hổng được báo cáo sang một “Danh mục tiền thưởng”. Danh mục này đưa ra cho các nhà nghiên cứu số tiền thưởng cụ thể dựa trên loại lỗ hổng được tìm thấy và tác động có thể có, đã được chứng minh đến người dùng và cơ sở hạ tầng của Zoom. Vào tháng 1 năm 2021, Zoom đã tăng giá trị cao nhất của bảng tiền thưởng lên 50.000 đô la cho một báo cáo và thấp nhất là 250 đô la.

• Chúng tôi đã kích hoạt Chương trình thông báo lỗ hổng (VDP) công khai, cho phép tất cả mọi người, không chỉ những nhà nghiên cứu bảo mật đã được tuyển dụng, gửi những báo cáo lỗ hổng tới cho Zoom. Việc làm này đã tinh giản công tác tiếp nhận báo cáo và tạo điều kiện để những nhóm phù hợp tại Zoom tham gia nhanh chóng, từ đó khắc phục lỗi nhanh hơn và sản phẩm có tính bảo mật cao hơn.

• Vào tháng 10 năm 2021, chúng tôi đã triển khai Chương trình săn lỗi VIP. Chương trình này tập trung vào những phiên bản giải pháp Zoom đã được cấp giấy phép, đồng thời cũng mở rộng phạm vi kiểm tra bảo mật.
  
• Trong năm 2021, nhóm VMBB Zoom chú trọng cắt giảm thời gian phản hồi ban đầu, phân loại, khắc phục và trả tiền thưởng. Các chỉ số hiện tại của chúng tôi cho thấy thời gian phản hồi ban đầu trung bình chỉ dưới bốn giờ trong khi phân loại trọn vẹn một báo cáo gửi đến thường dưới 48 giờ. Nhóm thảo luận và xem xét các khoản thanh toán tiền thưởng hàng tuần, nghĩa là tiền thưởng thường được thanh toán trong vòng 14 ngày kể từ ngày gửi báo cáo.

• Để giúp thiết lập mối quan hệ hiện có với các nhà nghiên cứu của chúng tôi, Zoom đã tổ chức nhiều cuộc họp Zoom để gặp gỡ, giao lưu với các nhà nghiên cứu trên khắp thế giới. Cộng đồng hacker có đạo đức vô cùng đa dạng, từ sinh viên đại học và giáo sư cho tới những thanh thiếu niên có năng khiếu chỉ mới học cách hack và những người dùng Zoom hàng ngày “nhận thấy điều gì đó khác thường”.

Chúng tôi đã học hỏi và phát triển đáng kể trong năm 2021, và chúng tôi rất chờ mong được mở rộng những nỗ lực này và hợp tác với nhiều hacker có đạo đức hơn trong năm 2022. Nếu bạn có hứng thú muốn hỗ trợ để Zoom trở thành nền tảng mang tính bảo mật cao hơn, hãy gửi email tên hồ sơ HackerOne của bạn tới bugbounty@zoom.us hoặc truy cập trang nghề nghiệp Zoom để xem những vị trí tuyển dụng cho nhóm Tin cậy và Bảo mật. Cùng hack vui vẻ nào!

Để tìm hiểu thêm về quyền riêng tư và bảo mật của Zoom, tham khảo Trust Center của chúng tôi.