Sicurezza e Privacy

Proteggiamo Zoom e i nostri clienti: uno sguardo al successo del nostro programma di ricompense per i bug rilevati nel 2022

Ecco uno sguardo sui risultati ottenuti da Zoom nel corso dell'anno passato.
3 tempo di lettura

Data di aggiornamento March 19, 2023

Pubblicato in data March 20, 2023

Bug bounty 2022

2022: uno sguardo al passato

In Zoom verifichiamo quotidianamente la nostra infrastruttura, ma sappiamo di non essere immuni alle vulnerabilità dei casi limite. Per questo motivo, abbiamo chiamato i rinforzi! La comunità degli hacker etici, infatti, talvolta è in grado di rilevare bug che possono essere scoperti solo in circostanze particolari.

Questo è il motivo per cui il nostro programma di ricompense per i bug rilevati si focalizza sul reclutamento di ricercatori competenti ed efficaci. Nel 2022 abbiamo spedito altri inviti per fare in modo che i ricercatori si unissero al nostro programma HackerOne, con l'obiettivo di attirare talenti attivi nel campo della sicurezza. Inoltre vogliamo andare al di là del programma di ricerca talenti, quindi ci siamo inseriti nella comunità attraverso eventi di settore come l'H1-702.

I ricercatori si impegnano duramente per aiutarci, quindi cerchiamo di impegnarci altrettanto per festeggiare le segnalazioni. Abbiamo assegnato 3,9 milioni di dollari in ricompense a centinaia di ricercatori nel corso dell'esercizio finanziario 2023 e oltre 7 milioni di dollari a partire dall'inizio del programma. 

Oltre a identificare le vulnerabilità, l'assistenza dei ricercatori esterni ha contribuito a far raggiungere a Zoom altre forme di progresso. Abbiamo usato le segnalazioni per identificare gli elementi che necessitavano di attenzione, individuare le cause principali dei problemi, realizzare un migliore allineamento interfunzionale e individuare le potenziali minacce prima che si trasformassero in problemi. Di conseguenza, negli ultimi due anni, i tempi di risoluzione delle segnalazioni del programma per i bug rilevati sono notevolmente migliorati.

Aggiornamento del programma per il 2023 e oltre 

All'inizio di quest'anno, abbiamo riorganizzato il nostro team e sviluppato gli aggiornamenti del programma per l'esercizio finanziario 2024. Abbiamo valutato i ricercatori attualmente nel programma per essere certi che tutti siano attivi e apportino contributi. Vogliamo iniziare l'anno con il piede giusto, quindi dobbiamo collaborare con ricercatori efficienti e di alto profilo.

Il programma Zoom di ricompense per i bug rilevati sta implementando un nuovo sistema di punteggio dell'impatto delle vulnerabilità per aiutare i ricercatori ad agire nel migliore dei modi. Proseguiremo con l'uso del Common Vulnerability Scoring System (Sistema di valutazione delle vulnerabilità comuni, CVSS), standard del settore, per assegnare un punteggio alle segnalazioni. Inoltre stiamo migliorando il programma per aggiungere un sistema di punteggio complementare, il Vulnerability Impact Scoring System (Sistema di valutazione dell'impatto delle vulnerabilità, VISS), che analizza 13 diversi aspetti dell'impatto di ciascuna vulnerabilità segnalata in relazione all'infrastruttura e alla tecnologia Zoom, oltre che alla sicurezza dei dati dei clienti. Con l'implementazione del VISS, la caccia al bug può concentrarsi maggiormente sulla misurazione dell'impatto dimostrato in modo responsabile, piuttosto che sulla possibilità teorica del suo sfruttamento.

Il percorso che ci attende 

Con la crescita nell'ultimo anno del programma Zoom di ricompense per i bug rilevati, continuiamo a migliorare e a consolidare i nostri processi, i premi in denaro e gli ambiti di verifica. Non vediamo l'ora di vedere l'impatto del nostro nuovo sistema di punteggio e tutti gli ottimi risultati che i nostri ricercatori potranno ottenere nel 2023.

Se ti interessa contribuire a rendere Zoom più sicuro, invia il nome del tuo profilo HackerOne a bugbounty@zoom.us o consulta la pagina delle opportunità di lavoro di Zoom per esaminare le posizioni aperte nei team di attendibilità e sicurezza. Buona caccia ai bug a tutti!

Sul nostro Trust Center potrai trovare maggiori informazioni sulla privacy e sicurezza di Zoom.

I nostri clienti ci amano

Okta
Nasdaq
Rakuten
Logitech
Western Union
Autodesk
Dropbox
Okta
Nasdaq
Rakuten
Logitech
Western Union
Autodesk
Dropbox

Zoom – Una piattaforma per comunicare