保障未来安全：Zoom 携手 HackerOne 举办 H1-4420 活动

在 Zoom，安全和隐私不只是一个口号，而是我们的文化和关键举措的一部分。 我们深知，在不断演变的网络安全领域，必须在潜在威胁发生前做好准备。 这就是为什么我们借助道德黑客社区的专业知识，提前识别和解决可能会被恶意行为者利用的漏洞。 识别和解决漏洞的方法之一就是与 HackerOne 合作并参加他们的实时黑客活动。

今年的 HackerOne H1-4420 活动于 2023 年 6 月 22 日在伦敦的 CodeNode 举行，我们非常高兴成为该活动的赞助商。 该活动十分难得，让我们有机会与世界各地最具才华的道德黑客合作，齐心协力提升 Zoom 平台的安全性。 我们积极与该社区交流，不仅可以降低风险，还能促进创新并不断改进我们的服务。

H1-4420 活动汇集了来自 41 个国家/地区的 90 多名安全专业人士，他们可以通过线下方式和线上方式参与活动。这些技术精湛的黑客对 Zoom 平台进行了仔细研究，寻找 Zoom Mail 和 Zoom Calendar 以及 Zoom AI Companion 等各类产品的潜在漏洞。他们的工作对我们的帮助极大，有助于我们改进产品并更好地保护我们的客户。我们对他们所作的贡献深表感激。

在 H1-4420 活动中获得奖金和其他表彰的最佳表现者包括：

冠军和“灭虫专家”称号：cache-money

亚军和“治安维持者”称号：f6x

最佳合作奖：tomanthony、todayisnew、hx01 和 shubs。

能有机会帮助 HackerOne 对这些具有战略意义的道德黑客个人行为予以赞美和支持，我们感到很荣幸。 

参与 H1-4420 活动的黑客进行了一项先进的漏洞评估，该过程同时运用了传统的通用漏洞评分系统 (CVSS)，以及新一代 Zoom 漏洞影响力评分系统 (VISS)。 借助 VISS，我们突破了表层分析，并评估了每个漏洞对 Zoom 平台的影响。

将 VISS 纳入我们的 Bug 报告奖励计划之后，可助力我们的团队高效分配资源，并专注于最关键的漏洞。 这种主动方式提升了我们的整体安全性，有助于为我们的重要客户提供安全可靠的环境。 在持续采取全面的安全措施方面，Zoom 始终保持领先优势，VISS 的引入体现了 Zoom 致力于实践强有力的安全做法并与客户建立信任关系。

在今年的活动中，Zoom 还制作了三个“复活节彩蛋”，作为需要参与者额外解开的谜题。 这三个谜题都需要通过不同的攻击类型来破解不同的加密算法。 例如，一位名叫“rez0”的黑客使用 AI 工具生成生词列表，助其使用暴力破解方法解开谜题。 我们持续了解到，黑客使用 AI 工具可更高效地进行漏洞检测和攻击活动。

活动期间的讨论不仅限于黑客攻击和网络安全。 我们还希望为参与者营造一个轻松愉快的氛围。 HackerOne 设立了一个定制明信片的站点，黑客们可以通过该站点将明信片寄回家，从工作中抽出身来好好休息一下。 此外，我们还提供了一面涂鸦墙，黑客们可以通过涂鸦墙展示其创造力，享受以艺术形式进行表达的乐趣。 我们认为和谐愉快的环境有助于促进合作并激发新的思路。

上一财年，Zoom 向数百名研究人员发放了 390 万美元的赏金，自 Bug 报告奖励计划实施以来，发放的赏金总额已超过 700 万美元。 此项投资体现了我们致力于为客户提供最高级别的安全标准和隐私权标准。

除了不断发展我们的 Bug 报告奖励计划之外， H1-4420 之类的活动也让我们意识到，要在网络安全领域中保持领先优势，需要发挥协作优势和集体力量。 通过与全球各地的道德黑客携手合作，我们可以主动解决漏洞，为客户营造一个更安全的环境。

要详细了解我们的道德黑客活动和漏洞披露政策，请访问我们的 Bug 报告奖励计划页面。

编者注：这篇博客文章编辑于 2023 年 7 月 31 日，包含了关于我们 Bug 报告奖励计划的最新信息。