Bezpieczeństwo i prywatność

Bezpieczeństwo Zoom i naszych klientów: spojrzenie na sukces programu Bug Bounty w 2022 roku

Oto przegląd osiągnięć programu Zoom Bug Bounty w ostatnim roku
3 min czytania

Aktualizacja: March 19, 2023

Opublikowano March 20, 2023

Bug bounty 2022

2022 rok z perspektywy czasu

Codziennie testujemy w Zoom naszą infrastrukturę, ale zdajemy sobie sprawę, że nie jesteśmy całkowicie odporni na luki w zabezpieczeniach. Wzywamy więc wsparcie — społeczności etycznych hakerów udaje się czasem wykryć błędy, które można wykryć tylko w określonych okolicznościach.

Właśnie dlatego nasz program Bug Bounty skupia się na rekrutacji wykwalifikowanych, skutecznych badaczy. W 2022 roku wysłaliśmy do badaczy dodatkowe zaproszenia, aby przyłączyli się do naszego programu HackerOne koncentrującego się na przyciąganiu aktywnych talentów w dziedzinie bezpieczeństwa. Lubimy też wychodzić poza nasz program, aby znaleźć badaczy, więc nawiązaliśmy współpracę ze społecznością hakerów poprzez wydarzenia branżowe, takie jak H1-702.

Ci badacze ciężko pracują, aby nam pomóc, dlatego staramy się odpowiednio nagradzać zgłoszenia błędów. W roku finansowym 2023 przyznaliśmy setkom badaczy nagrody w wysokości 3,9 mln dolarów i ponad 7 mln dolarów od początku istnienia programu.

Poza identyfikacją luk w zabezpieczeniach wsparcie zewnętrznych badaczy pomogło nam w Zoom osiągnąć inne postępy. Wykorzystaliśmy te zgłoszenia, aby znaleźć elementy wymagające uwagi, wskazać główne przyczyny problemów, stworzyć lepsze dopasowanie między funkcjami i znaleźć potencjalne zagrożenia, zanim staną się one problemem. W efekcie nasz czas rozwiązywania błędów zgłaszanych w ramach programu Bug Bounty znacznie się skrócił w ciągu ostatnich dwóch lat.

Aktualizacja programu na rok 2023 i kolejne lata

Na początku tego roku zrestrukturyzowaliśmy nasz zespół i opracowaliśmy aktualizacje programu na rok finansowy 2024. Oceniliśmy badaczy, którzy obecnie współpracują z nami w ramach programu, aby upewnić się, że wszyscy są aktywni. Chcemy wejść w nowy rok z odpowiednią energią, a wszystko to zaczyna się od współpracy z wysokiej klasy, skutecznymi badaczami.

Program Zoom Bug Bounty wdraża również zupełnie nowy system oceniania wpływu luk w zabezpieczeniach, aby jeszcze bardziej pomóc badaczom w ich pracy. Chociaż nadal będziemy korzystać ze standardowego w branży systemu oceny podatności na ataki (CVSS) do oceniania zgłoszeń, rozwijamy nasz program, dodając towarzyszący system oceny wpływu podatności na ataki (Vulnerability Impact Scoring System, VISS), który analizuje 13 różnych aspektów wpływu każdej zgłoszonej luki w zabezpieczeniach na infrastrukturę Zoom, technologię i bezpieczeństwo danych klientów. Dzięki wdrożeniu VISS program Bug Bounty może bardziej skupić się na mierzeniu wpływu błędów niż na teoretycznej możliwości ich wykorzystania.

Co nas czeka

Chociaż program Zoom Bug Bounty rozrósł się w ciągu ostatniego roku, nadal rozwijamy i doskonalimy nasze procesy, nagrody i zakres testów. Jesteśmy bardzo ciekawi wpływu naszego nowego systemu oceny i wszystkiego, co nasi badacze mogą osiągnąć w 2023 roku.

Jeśli jesteś zainteresowany(-a) pomocą w zwiększeniu bezpieczeństwa platformy Zoom, wyślij wiadomość e-mail z nazwą swojego profilu HackerOne na adres bugbounty@zoom.us lub odwiedź stronę karier Zoom, aby zapoznać się z wolnymi stanowiskami w zespołach Trust i Security. Szczęśliwego hakowania!

Dowiedz się więcej o prywatności Zoom i bezpieczeństwie, wejdź do Trust Center.

Nasi klienci nas kochają

Okta
Nasdaq
Rakuten
Logitech
Western Union
Autodesk
Dropbox
Okta
Nasdaq
Rakuten
Logitech
Western Union
Autodesk
Dropbox

Zoom – jedna platforma do połączeń