保障未來的安全：Zoom 與 HackerOne 攜手參加 H1-4420 活動

在 Zoom，安全和隱私權不只是業界用語，它們是我們文化、及重要措施的一部份。 在不斷發展的網路安全環境中，我們知道致力於領先掌握潛在的威脅至關重要。 因此我們利用道德駭客社群的專業知識協助我們識別和解決漏洞，以避免它們遭到惡意源起方利用。 我們實現此目標的方法之一是與 HackerOne 合作，並參與他們的現場駭客活動。

我們很高興成為今年 HackerOne H1-4420 活動的贊助商，此活動於 2023 年 6 月 22 日在倫敦 CodeNode 舉行。 此活動為我們提供與世界各地最具才華、最有道德的駭客協作的寶貴機會，所有人共同努力協助提升 Zoom 平台的安全性。 藉由積極參與此社群，我們不僅可以降低風險，還能促進創新並不斷提升我們的服務。

H1-4420 活動匯集來自超過 41 個國家/地區，以現場和虛擬方式參與的 90 多名安全專業人士。這些技術熟練的駭客將 Zoom 平台置於顯微鏡下，尋找各個產品的潛在漏洞，從 Zoom Mail 和 Calendar 到 Zoom AI Companion。他們的努力提供了寶貴的支援，協助我們改良產品，並且妥善保護我們的客戶，我們非常感謝他們的貢獻。

在 H1-4420 的賞金支付和其他類別中表現最好者包括：

第一名和消滅者頭銜：cache-money

第二名和治安官頭銜：f6x

最佳協作：tomanthony、todayisnew、hx01 和 shubs。

我們很自豪有機會幫助 HackerOne 讚揚並支持這些個人的策略道德駭客行為。

參與 H1-4420 的駭客接受了進階錯誤評估程序，可利用傳統的通用漏洞評分系統 (CVSS) 方法及 Zoom 全新的漏洞影響評分系統 (VISS)。 透過 VISS，我們超越了表層分析，並評估了每個錯誤對 Zoom 平台的實證影響。

透過將 VISS 納入我們的 錯誤賞金計畫，使我們的團隊能有效地分配資源並專注於最關鍵的漏洞。 此積極主動的方法增強了我們的整體安全態勢，有助於確保為我們尊貴的客戶提供安全可靠的環境。 Zoom 對於穩健的安全實踐以及與客戶建立信賴的承諾，透過 VISS 的引進而得到體現，我們在不斷努力追求全方位安全措施方面亦保持領先的地位。

在今年的活動中，Zoom 還製作了三個「復活節彩蛋」做為參加者必須解決的額外謎題。 這三個謎題中的每一個都涉及透過不同類型的方式來破解不同的加密演算法。 其中一個例子是一位名為「rez0」的駭客利用 AI 工具來協助產生新單字清單，以協助他們用暴力法來解決這個謎題。 我們不斷看到駭客利用 AI 工具來更有效地偵測和利用漏洞。

在活動期間，並非只有駭客和網路安全的討論。 我們也想為參與者創造一個有趣且輕鬆的氛圍。 HackerOne 設置了一個自訂的明信片站，駭客可以將明信片寄回家，藉此在工作之餘提供愉快的休息時刻。 此外，我們還有一面彩色牆，駭客可在此展示其創造力並享受展現藝術的時刻。 我們相信，均衡且愉快的環境可以促進協作並激發新的想法。

上個會計年度，Zoom 向數百名研究人員提供 390 萬美元的獎金，使我們的錯誤賞金計畫自啟動以來，獎金總額已超過 700 萬美元。 這項投資反映了我們致力於為客戶維護最高水準的安全和隱私權。

除了持續發展我們的錯誤賞金計畫之外，H1-4420 等活動也提醒人們協作的力量以及協助在網路安全領域保持領先地位所需的集體努力。 透過與來自世界各地的道德駭客攜手合作，我們可以主動解決漏洞並為客戶創造更安全的環境。

若要深入瞭解我們的道德駭客工作和漏洞揭露政策，請造訪我們的錯誤賞金計畫頁面。

編輯註釋：此網路日誌貼文於 2023 年 7 月 31 日編輯，以包含我們錯誤賞金計畫的最新資訊。