Lead Security Engineer

Programma di ricompense per i bug rilevati di Zoom: il 2021 sotto la lente d'ingrandimento

Programma di ricompense per i bug rilevati di Zoom: il 2021 sotto la lente d'ingrandimento

Per noi di Zoom, le comunicazioni virtuali sicure e protette sono la priorità principale. L'obiettivo fondamentale delle centinaia di esperti della sicurezza interna che si occupano di Zoom è mantenere la riservatezza e l'integrità di messaggi e riunioni e la disponibilità e l'affidabilità della nostra infrastruttura globale. 

Sappiamo che è fondamentale costruire difese solide per stare al passo con le minacce ai nostri utenti e alle infrastrutture, quindi, eseguiamo costantemente controlli sulla piattaforma e sulle infrastrutture, per identificare minacce emergenti e potenziali e le vulnerabilità. 

Sfruttare il potere della community di ricerca sulla sicurezza

Il compito di Zoom è verificare quotidianamente soluzioni e infrastrutture, sappiamo però che è importante ampliare queste verifiche, quindi abbiamo coinvolto la comunità di hacker etici per identificare le vulnerabilità dei casi-limite che si possono rilevare solo in determinati casi e circostanze.

Ecco il motivo per cui Zoom ha investito in un team di esperti della sicurezza qualificato e globale attraverso un programma di ricompense per i bug rilevati, sulla piattaforma HackerOne, fornitore leader del settore per il reclutamento e il coinvolgimento di professionisti focalizzati sulla sicurezza. I programmi privati di ricompense per i bug rilevati sono solo su invito, in questo modo le aziende possono selezionare direttamente gli esperti della sicurezza in base alla loro attività precedente. Per aiutare a misurare quanto saranno rilevanti e utilizzabili le scoperte dei ricercatori, HackerOne calcola i risultati statistici di ognuno sulla base del loro rapporto segnale-disturbo, dell'impatto sui programmi alla cui realizzazione hanno contribuito e sulla loro reputazione.  

Sono oltre 800 gli esperti della sicurezza provenienti dalla piattaforma HackerOne reclutati da Zoom. I risultati del loro lavoro collettivo si traducono nella presentazione di numerose segnalazioni di bug e nell'assegnazione di oltre 2,4 milioni di dollari in pagamenti di ricompense, gadget e regali da quando il programma è stato introdotto. Solo nel 2021 Zoom ha assegnato 1,8 milioni di dollari per 401 report. Vogliamo ringraziare tutti coloro che hanno responsabilmente rivelato i bug a Zoom, e soprattutto i seguenti esperti che compongono la nostra "Top 10":

todayisnewmrtuxracerandifixitd0xing
badcrackerkawiriskavensgodiegocache-money
Ricompense assegnate nel 2021

Il nostro approccio al reclutamento

Lo scorso anno, il nostro team per la gestione delle vulnerabilità e per la rilevazione dei bug (Vulnerability Management and Bug Bounty, VMBB) si è focalizzato, facendosi strada in un panorama di reclutamento competitivo, sull tentativo di attrarre un numero maggiore di esperti della sicurezza "di grido", per coinvolgerli nel nostro programma, fornendo loro un'esperienza eccellente. 

Abbiamo stabilito i seguenti cinque principi per attrarre i talenti top e per contribuire a indirizzare e a migliorare il programma:

  • Politiche di programma chiare e concise, che spieghino quali tipi di test sono consentiti, dettagli sulla politica di "approdo sicuro" del programma e un menu di potenziali range di pagamento delle ricompense per tipi specifici di rapporti di vulnerabilità.
  • Aumento costante dell'ampiezza della superficie di azione, la "portata" del programma di ricompense per i bug rilevati, e definizione chiara di ciò che è specificamente escluso o inaccessibile.
  • Riduzione al minimo dei tempi di risposta del programma, delle misure correttive e delle tempistiche di pagamento. A nessuno, hacker etici compresi, piace aspettare per essere ascoltati o per essere pagati per il proprio lavoro.
  • Relazioni professionali e rapporti diretti con i dipendenti di Zoom che gestiscono il programma di ricompense per i bug rilevati, la valutazione delle segnalazioni e determinano i pagamenti delle ricompense.
  • Ricompense competitive che riflettono accuratamente il lavoro svolto dagli esperti e la gravità dell'impatto che una vulnerabilità può avere se scoperta e sfruttata.

Evoluzione del programma

Nel 2021 abbiamo anche implementato diversi aggiornamenti chiave nel programma di ricompense per i bug rilevati, in modo da sostenere gli esperti esistenti e attrarre nuove leve.  Ecco che cosa abbiamo incluso:

  • Ci siamo discostati da un range statico di ricompense basato solo sulla gravità della vulnerabilità segnalata e abbiamo implementato un "Menu delle ricompense". All'interno di questo menu gli esperti trovano gli importi specifici delle ricompense in base al tipo di vulnerabilità trovata e all'impatto dimostrato che può avere sugli utenti e sull'infrastruttura di Zoom. A gennaio 2021 Zoom ha innalzato il tetto delle ricompense a 50.000 dollari per un singolo report mentre il limite inferiore per un report è di 250 dollari.
  • Abbiamo attivato un programma pubblico sulla divulgazione delle vulnerabilità (Vulnerability Disclosure Program, VDP), che consente a chiunque, non solo agli esperti della sicurezza affermati, di inviare a Zoom dei rapporti sulla vulnerabilità. In questo modo abbiamo semplificato la ricezione dei rapporti e consentito il rapido coinvolgimento dei corretti team di Zoom, conducendo, in ultima analisi, a misure correttive dei bug più rapide e a un prodotto più sicuro.
  • Nell'ottobre 2021 abbiamo lanciato il nostro programma VIP di ricompense per i bug rilevati. Il focus di questo programma è sulle versioni concesse in licenza delle soluzioni di Zoom, inoltre ha ampliato il campo d'azione dei test sulla sicurezza.
  • Nel corso del 2021 il team VMBB si è focalizzato sulla riduzione dei tempi della risposta iniziale, della valutazione, delle misure correttive e delle tempistiche di pagamento delle ricompense. Le metriche correnti ci mostrano che il tempo medio di risposta è di poco inferiore alle quattro ore, mentre la valutazione completa del report in arrivo richiede, solitamente, meno di 48 ore. Settimanalmente il team rivede e discute i pagamenti delle ricompense, che, di conseguenza, sono pagate entro 14 giorni dall'invio del report.
  • Zoom ha organizzato diversi Zoom Meeting di presentazione con gli esperti di tutto il mondo, per contribuire all'instaurazione di relazioni durature. La comunità degli hacker etici è incredibilmente varia: dagli studenti e professori universitari, agli adolescenti dotati che stanno imparando che cos'è l'hacking, fino agli utenti quotidiani di Zoom che "hanno notato qualcosa di strano". 

Uno sguardo al futuro

Dal 2021 siamo cresciuti molto e abbiamo imparato altrettanto, e per il 2022 siamo davvero entusiasti di allargare il nostro impegno e di collaborare con hacker più etici. Se ti interessa contribuire a rendere Zoom più sicuro, invia il tuo nome del profilo HackerOne a bugbounty@zoom.us o visita la pagina delle opportunità di lavoro di Zoom per esaminare le posizioni aperte nei team di Fiducia e sicurezza. Buona caccia ai bug a tutti!

Sul nostro Trust Center potrai trovare maggiori informazioni sulla privacy e sicurezza di Zoom.

Don't forget to share this post