安全性與隱私權

年度回顧:我們的 2023 年錯誤賞金計畫對 Zoom 安全的意義

Zoom 的錯誤賞金計畫會激勵探索安全漏洞和責任揭露。以下為過去一年的重點摘要。

3 閱讀分鐘

更新日期 June 17, 2024

發佈日期 April 03, 2024

影像預留位置

安全性是 Zoom 持續關注的焦點,也是我們透過各種計畫和措施繼續致力於持續投資。Zoom 錯誤賞金計畫就是一項旨在強化線上安全的措施,也是整個 Zoom 社群協作、創新及持續改進的耀眼典範。自 2019 年以來,我們一直與研究人員社群積極合作,現在,我們很高興地宣布,我們已授予超過 1,000 萬美元的錯誤賞金,以協助加強 Zoom 的防禦並保護使用者的安全性與隱私權。

Zoom 的錯誤賞金計畫旨在激勵探索安全漏洞和責任揭露。在過去兩年中,我們已實作簡化的流程,以確保對所有安全報告做出及時反應和回應。我們 800 多名研究人員之一偵測到並提交錯誤後,平均而言,我們的安全團隊只需幾個小時,就能對報告進行分析、複製並提交給正確的內部開發團隊進行修復。

過去 3 年多以來,Zoom 一直在降低每個程式操作報告的成本,同時提升漏洞的識別,這對我們的平台產生實際影響。短短三年內,我們已將每份有效報告的成本降低 40%,並觀察到報告的提交內容增加一倍以上。

回顧我們 2023 年的成就

VISS

2023 年 1 月,錯誤賞金團隊致力於建立、精簡及推出創新的機制,以衡量漏洞利用對系統的實際影響。3 月實作的漏洞影響評分系統 (VISS) 是我們在 Github 上開源的協作成果。

Zoom 已使用 VISS 一年多,其他錯誤賞金團隊對尋求更客觀的漏洞影響衡量標準越來越感興趣。到目前為止,VISS 的協作和意見反映均為正面。安全研究人員也提供意見反映,可提高 VISS 的協作和焦點,以及 Zoom 錯誤賞金管理的透明方法。

Zoom 資安長 Michael Adams 解釋道:「VISS 讓我們能夠量身打造安全研究人員的工作,以便我們專注於最重要且影響力最大的事務,然後我們的支出也會據此調整。我不僅想要相對的報酬,還想給予相對的激勵,如果我無法在我的評分系統中提供清晰的資訊,他們就很難理解。我們現在能夠提供一定程度的明確性」。

若要深入瞭解具體資訊並試用 Zoom 的 VISS 計算器實作,請查看完整的 VISS 規格

HackerOne

我們也很高興成為今年 HackerOne H1-4420 活動的贊助商,該活動於 2023 年 6 月 22 日在倫敦 CodeNode 舉行。這項活動為我們提供與來自 41 個國家/地區的 90 多名最有才華的道德駭客協作的寶貴機會,他們共同努力協助加強 Zoom 平台的安全性。透過積極參與這個社群,我們不僅可以降低風險,還可以促進創新並持續改善我們的服務。以下為活動的重點回顧。

錯誤賞金獎金

2023 年對我們來說是重要的一年,因為我們為 200 多名不同的安全研究人員提交的 1,000 多份單獨的有效報告支付超過 240 萬美元的錯誤賞金獎金。這使得累積的錯誤賞金獎金總額超過 1,000 萬美元。

安全仍然是展望未來的首要重點

隨著人工智慧和機器學習更加緊密整合到 Zoom 產品中,Zoom 錯誤賞金團隊一直忙於與我們的許多頂尖研究人員合作來找出漏洞。生成式 AI 的興起帶來新的安全性與隱私權風險,包括錯誤資訊、資料下毒及資料外洩。使用 VIP 計畫中的活動功能,HackerOne 平台為 Zoom 與研究人員進行有意義的雙向協作提供所有後端處理能力。

除了我們專注於 AI 之外,我們還預計在今年發布一組強大的功能,作為我們 2024 年藍圖的一環。考慮到這點,從 2024 年 4 月 1 日開始且持續整個 4 月的「Spring BREAKAGE」促銷活動中我們期待看到一系列新的報告提交內容。已將一些新功能新增至測試範圍,並增加本促銷活動的賞金。

如果您有興趣協助提高 Zoom 的安全性,請將您的 HackerOne 個人資料名稱以電子郵件寄送至 bugbounty@zoom.us,或前往 Zoom 徵才頁面以查看信任和安全團隊中的工作職缺。駭客愉快!

若要深入瞭解 Zoom 安全性與隱私權,請參閱我們的信任中心。找到錯誤?在此提交漏洞問題

客戶對我們讚譽有加

Okta
Nasdaq
Rakuten
Logitech
Western Union
Autodesk
Dropbox
Okta
Nasdaq
Rakuten
Logitech
Western Union
Autodesk
Dropbox

Zoom - 同一平台,連繫遠近