Bảo mật cho tương lai: Zoom hợp tác với HackerOne tại sự kiện H1-4420

Sự kiện H1-4420 tập hợp hơn 90 chuyên gia bảo mật từ hơn 41 quốc gia, tham gia theo cả hình thức trực tiếp và trực tuyến. Những hacker dày dạn kỹ năng này kiểm tra kỹ lưỡng nền tảng Zoom, tìm kiếm những lỗ hổng tiềm ẩn ở một loạt các sản phẩm, từ Zoom Mail và Zoom Calendar đến Zoom AI Companion. Nỗ lực của họ mang đến sự hỗ trợ vô giá, giúp chúng tôi phát triển sản phẩm và bảo vệ khách hàng tốt hơn. Chúng tôi vô cùng biết ơn sự đóng góp của họ.

Những người có thành tích tốt nhất tại H1-4420 để nhận tiền thưởng và các loại tri ân khác bao gồm:

Hạng nhất và danh hiệu Hacker tìm được lỗi khó nhất: cache-money

Hạng nhì và danh hiệu Hacker cẩn trọng nhất: f6x

Hoạt động cộng tác tốt nhất: tomanthony, todayisnew, hx01 và shubs.

Chúng tôi tự hào có cơ hội hỗ trợ HackerOne vinh danh và ủng hộ việc hack có đạo đức và hiệu quả của những cá nhân trên. 

Những hacker tham gia H1-4420 trải qua quy trình đánh giá lỗi nâng cao dùng cả cách tiếp cận Hệ thống chấm điểm lỗ hổng thường gặp (CVSS) thông thường và Hệ thống chấm điểm tác động lỗ hổng (VISS) mới của Zoom. Với VISS, chúng tôi đã vượt qua phân tích ở cấp độ bề mặt và đánh giá tác động đã chứng minh của mỗi lỗi trên nền tảng Zoom.

Bằng việc đưa VISS vào chương trình săn lỗi, chúng tôi hỗ trợ nhóm của mình phân bổ nguồn lực hiệu quả và tập trung vào những lỗ hổng nghiêm trọng nhất. Cách tiếp cận chủ động này nâng cao tình trạng bảo mật tổng thể của chúng tôi, giúp bảo đảm một môi trường an toàn và bảo mật cho quý khách hàng. Cam kết của Zoom về các biện pháp thực hành bảo mật mạnh mẽ và xây dựng lòng tin với khách hàng được chứng minh qua việc áp dụng VISS, khi chúng tôi liên tục nỗ lực đi đầu trong việc theo đuổi không ngừng nghỉ các biện pháp bảo mật toàn diện.

Đối với sự kiện năm nay, Zoom cũng tạo ra ba điều thú vị ẩn giấu dưới dạng câu đố thêm để những người tham giải đáp. Mỗi bài trong ba câu đố liên quan đến việc phá vỡ các thuật toán mã hóa khác nhau bằng các loại khai thác khác nhau. Trong một ví dụ, một hacker mang tên “rez0” sử dụng công cụ AI để hỗ trợ tạo các danh sách từ mới nhằm giúp cách tiếp cận tấn công mạng brute force của họ để giải câu đố. Chúng tôi liên tục chứng kiến các hacker sử dụng công cụ AI để thực hiện hiệu quả hơn trong các nỗ lực phát hiện và khai thác lỗ hổng.

Sự kiện không chỉ có hoạt động hacking và các cuộc thảo luận về an ninh mạng. Chúng tôi cũng muốn tạo ra một không khí vui vẻ và thoải mái cho những người tham gia. HackerOne thiết lập một trạm bưu thiếp tùy chỉnh mà hacker có thể gửi bưu thiếp về nhà, cho phép họ nghỉ giải lao vui vẻ ngoài công việc của mình. Thêm nữa, chúng tôi có một bức tường tô màu mà hacker có thể thể hiện sự sáng tạo và tận hưởng giây phút sáng tạo nghệ thuật. Chúng tôi tin rằng một môi trường cân bằng và thú vị sẽ thúc đẩy hoạt động cộng tác và khơi nguồn các ý tưởng mới.

Vào năm tài chính trước, Zoom đã trao 3,9 triệu USD tiền thưởng cho hàng trăm nhà nghiên cứu, đưa tổng số tiền thưởng được trao qua chương trình săn lỗi của chúng tôi lên hơn 7 triệu USD từ ngày bắt đầu chương trình. Khoản đầu tư này phản ánh sự quyết tâm của chúng tôi trong việc duy trì mức bảo mật và quyền riêng tư cao nhất cho khách hàng.

Bên cạnh việc liên tục phát triển Chương trình săn lỗi, các sự kiện như H1-4420 chính là lời nhắc nhở về sức mạnh của sự cộng tác và các nỗ lực tập thể cần thiết để giúp đi đầu trong bối cảnh an ninh mạng. Bằng cách làm việc chặt chẽ với các hacker có đạo đức trên toàn cầu, chúng tôi có thể chủ động giải quyết các lỗ hổng và tạo ra một môi trường an toàn hơn cho các khách hàng.

Để tìm hiểu thêm về các nỗ lực hack có đạo đức và Chính sách tiết lộ lỗ hổng của chúng tôi, vui lòng truy cập trang Chương trình săn lỗi.

Ghi chú của biên tập viên: Bài đăng trên blog này được biên tập vào ngày 31 tháng 7 năm 2023 để bao gồm các thông tin cập nhật nhất của chương trình săn lỗi của chúng tôi.