年度回顧：我們的 2023 年錯誤賞金計畫對 Zoom 安全的意義

安全性是 Zoom 持續關注的焦點，也是我們透過各種計畫和措施繼續致力於持續投資。Zoom 錯誤賞金計畫就是一項旨在強化線上安全的措施，也是整個 Zoom 社群協作、創新及持續改進的耀眼典範。自 2019 年以來，我們一直與研究人員社群積極合作，現在，我們很高興地宣布，我們已授予超過 1,000 萬美元的錯誤賞金，以協助加強 Zoom 的防禦並保護使用者的安全性與隱私權。

Zoom 的錯誤賞金計畫旨在激勵探索安全漏洞和責任揭露。在過去兩年中，我們已實作簡化的流程，以確保對所有安全報告做出及時反應和回應。我們 800 多名研究人員之一偵測到並提交錯誤後，平均而言，我們的安全團隊只需幾個小時，就能對報告進行分析、複製並提交給正確的內部開發團隊進行修復。

過去 3 年多以來，Zoom 一直在降低每個程式操作報告的成本，同時提升漏洞的識別，這對我們的平台產生實際影響。短短三年內，我們已將每份有效報告的成本降低 40%，並觀察到報告的提交內容增加一倍以上。

VISS

2023 年 1 月，錯誤賞金團隊致力於建立、精簡及推出創新的機制，以衡量漏洞利用對系統的實際影響。3 月實作的漏洞影響評分系統 (VISS) 是我們在 Github 上開源的協作成果。

Zoom 已使用 VISS 一年多，其他錯誤賞金團隊對尋求更客觀的漏洞影響衡量標準越來越感興趣。到目前為止，VISS 的協作和意見反應均為正面。安全研究人員也提供意見反應，可提高 VISS 的協作和焦點，以及 Zoom 錯誤賞金管理的透明方法。

Zoom 資安長 Michael Adams 解釋道：「VISS 讓我們能夠量身打造安全研究人員的工作，以便我們專注於最重要且影響力最大的事務，然後我們的支出也會據此調整。我不僅想要相對的報酬，還想給予相對的激勵，如果我無法在我的評分系統中提供清晰的資訊，他們就很難理解。我們現在能夠提供一定程度的明確性」。

若要深入瞭解具體資訊並試用 Zoom 的 VISS 計算器實作，請查看完整的 VISS 規格。

HackerOne

我們也很高興成為今年 HackerOne H1-4420 活動的贊助者，該活動於 2023 年 6 月 22 日在倫敦 CodeNode 舉行。這項活動為我們提供與來自 41 個國家/地區的 90 多名最有才華的道德駭客協作的寶貴機會，他們共同努力協助加強 Zoom 平台的安全性。透過積極參與這個社群，我們不僅可以降低風險，還可以促進創新並持續改善我們的服務。以下為活動的重點回顧。

錯誤賞金獎金

2023 年對我們來說是重要的一年，因為我們為 200 多名不同的安全研究人員提交的 1,000 多份單獨的有效報告支付超過 240 萬美元的錯誤賞金獎金。這使得累積的錯誤賞金獎金總額超過 1,000 萬美元。

隨著人工智慧和機器學習更加緊密整合到 Zoom 產品中，Zoom 錯誤賞金團隊一直忙於與我們的許多頂尖研究人員合作來找出漏洞。生成式 AI 的興起帶來新的安全性與隱私權風險，包括錯誤資訊、資料下毒及資料外洩。使用 VIP 計畫中的活動功能，HackerOne 平台為 Zoom 與研究人員進行有意義的雙向協作提供所有後端處理能力。

除了我們專注於 AI 之外，我們還預計在今年發布一組強大的功能，作為我們 2024 年藍圖的一環。考慮到這點，從 2024 年 4 月 1 日開始且持續整個 4 月的「Spring BREAKAGE」促銷活動中我們期待看到一系列新的報告提交內容。已將一些新功能新增至測試範圍，並增加本促銷活動的賞金。

如果您有興趣協助提高 Zoom 的安全性，請將您的 HackerOne 設定檔名稱以電子郵件寄送至 bugbounty@zoom.us，或前往 Zoom 徵才頁面以查看信任和安全團隊中的工作職缺。駭客愉快！

若要深入瞭解 Zoom 安全性與隱私權，請參閱我們的信任中心。找到錯誤？在此提交漏洞問題。