Đánh giá năm: Ý nghĩa của Chương trình săn lỗi năm 2023 đối với bảo mật Zoom
Chương trình săn lỗi của Zoom khuyến khích hoạt động phát hiện và tiết lộ có trách nhiệm về các lỗ hổng bảo mật. Sau đây là những điểm nổi bật trong năm vừa qua.
Cập nhật vào April 22, 2024
Đăng vào September 25, 2023
Zoom kiểm tra các giải pháp và cơ sở hạ tầng của mình hàng ngày, nhưng chúng tôi biết điều quan trọng là phải khai thác được cộng đồng hacker có đạo đức để bổ trợ cho việc kiểm tra, qua đó giúp phát hiện các lỗ hổng không dự đoán được mà chỉ có thể phát hiện ra trong một số trường hợp sử dụng và hoàn cảnh nhất định.
Đó là lý do vì sao Zoom đầu tư vào đội ngũ những nhà nghiên cứu bảo mật có kinh nghiệm trên toàn cầu qua chương trình săn lỗi riêng trên nền tảng của HackerOne, một nhà cung cấp hàng đầu trong ngành cho công tác tuyển dụng và thu hút các chuyên gia mạnh về bảo mật. Các chương trình săn lỗi riêng chỉ nhận những người tham gia được mời, cho phép các công ty tự tay chọn các nhà nghiên cứu bảo mật dựa trên công việc trước đây của họ. HackerOne tính toán số liệu thống kê cho từng nhà nghiên cứu dựa trên chỉ số đo lường giữa công suất của tín hiệu xuất ra và tạp âm, mức độ ảnh hưởng của các chương trình họ tham gia, và danh tiếng của họ. Tất cả những yếu tố này giúp đo lường mức độ phù hợp và tính thực tế trong kết quả điều tra nghiên cứu của họ.
Zoom đã tuyển dụng hơn 800 nhà nghiên cứu bảo mật trên nền tảng HackerOne. Kể từ khi đưa ra chương trình, công việc tập thể của họ đã mang lại kết quả là rất nhiều báo cáo lỗi được gửi tới, hơn 2,4 triệu đô la giải thưởng được chi trả bằng tiền, đồ lưu niệm và quà tặng. Chỉ riêng trong năm 2021, Zoom đã trao thưởng hơn 1,8 triệu đô la cho 401 báo cáo. Chúng tôi muốn cảm ơn tất cả những người đã gửi thông báo lỗi đáng tin cậy tới cho Zoom, và đặc biệt nhất là những nhà nghiên cứu đã lọt vào "Top 10" của chúng tôi dưới đây:
Năm trước, nhóm Quản lý Lỗ hổng và Săn lỗi (VMBB) của chúng tôi đặt trọng tâm vào việc làm chủ một bối cảnh tuyển dụng cạnh tranh và thu hút thêm nhiều "ngôi sao tài năng" trong nghiên cứu bảo mật tham gia chương trình của mình bằng cách mang đến cho họ một trải nghiệm tuyệt vời.
Để thu hút nhân tài hàng đầu, chúng tôi đã thiết lập năm nguyên tắc sau giúp định hướng và cải thiện chương trình:
Để hỗ trợ các nhà nghiên cứu hiện có và thu hút nhân lực mới, Zoom cũng đã triển khai nhiều cập nhật quan trọng cho chương trình săn lỗi trong năm 2021. Những cập nhật này gồm:
Chúng tôi đã học hỏi và phát triển đáng kể trong năm 2021, và chúng tôi rất chờ mong được mở rộng những nỗ lực này và hợp tác với nhiều hacker có đạo đức hơn trong năm 2022. Nếu bạn có hứng thú muốn hỗ trợ để Zoom trở thành nền tảng mang tính bảo mật cao hơn, hãy gửi email tên hồ sơ HackerOne của bạn tới bugbounty@zoom.us hoặc truy cập trang nghề nghiệp Zoom để xem những vị trí tuyển dụng cho nhóm Tin cậy và Bảo mật. Cùng hack vui vẻ nào!
Để tìm hiểu thêm về quyền riêng tư và bảo mật của Zoom, tham khảo Trust Center của chúng tôi.