安全和隐私

保护 Zoom 和 Zoom 的客户:回顾 Bug 报告奖励计划在 2022 年取得的成就

以下是 Zoom Bug 报告奖励计划在过去一年中所取得的成就。
3 阅读分钟数

更新日期 March 19, 2023

发布日期 March 20, 2023

Bug bounty 2022

2022 年回顾 

虽然 Zoom 每天都在测试基础设施,但我们清楚,边缘案例漏洞是避免不了的。 因此,我们请来了后援团队——白帽黑客社区。他们有时能够发现仅在特定情况下才能察觉到的漏洞。 

因此,Bug 报告奖励计划致力于招募技术娴熟的高效研究人员。 2022 年,我们向更多研究人员发出了邀请,希望他们加入 HackerOne 计划。该计划的重点在于吸引思想活跃的安全领域人才。 我们也乐于在计划之外发现人才,因此,我们还通过 H1-702 等行业活动深入了解该社区。

这些研究人员努力为我们提供帮助,我们也尽力对他们提交的富有成效的报告予以奖励。 在 2023 财年,我们向数百名研究人员发放了 390 万美元的赏金。自该计划实施以来,迄今已发放了超过 700 万美元的赏金。 

除了发现漏洞,外部研究人员提供的支持还帮助 Zoom 取得了其他形式的进展。 我们运用这些报告说明需要注意的项目,标记问题的根本原因,提高跨职能协调能力,并在出现问题之前及时发现潜在威胁。 因此,两年来,我们解决 Bug 奖励报告的效率得到了显著改善。

2023 年及以后的计划更新 

今年年初,我们重组了团队,并制定了 2024 财年的计划更新。 我们评估了目前参与项目的研究人员,确保每个人都积极参与并做出贡献。 在新的一年里,我们希望向正确的方向迈进。因此首先要与一流且高效的研究人员合作。

为了帮助研究人员发挥最大潜力,Zoom 的 Bug 报告奖励计划还实施了全新的漏洞影响力评分系统。 虽然我们仍将继续使用行业标准通用漏洞评分系统(CVSS)对报告进行评分,我们将完善计划,增加名为漏洞影响力评分系统(VISS)的配套评分系统,用以分析每个上报的漏洞在 Zoom 基础设施、技术和客户数据安全等 13 个方面造成的影响力。 随着 VISS 的实施,Bug 报告奖励计划可以更多地将重点放在负责任地评估已证明的影响力,而不是理论上存在的漏洞利用可能性。

展望未来 

过去一年来,随着 Zoom Bug 报告奖励计划的发展,我们将继续改善和完善流程、赏金奖励和测试范围。 我们很高兴看到全新评分系统带来的效果,以及研究人员在 2023 年可实施的积极举措。 

如果您有兴趣帮助 Zoom 提升安全性,请通过电子邮件将您的 HackerOne 个人信息名称发送至 bugbounty@zoom.us,或者访问 Zoom 招贤纳士页面查看“信任与安全”团队的空缺职位。 尽享黑客之乐!

要了解更多关于 Zoom 隐私和安全的信息,请浏览我们的 Trust Center

我们深受客户青睐

Okta
纳斯达克
Rakuten
Logitech
Western Union
Autodesk
Dropbox
Okta
纳斯达克
Rakuten
Logitech
Western Union
Autodesk
Dropbox

Zoom - 单一平台,连接无碍