Como aproveitar o poder da comunidade de segurança
Diariamente, o Zoom testa nossas soluções e infraestrutura, mas sabemos que é importante aumentar o poder dos testes trabalhando em conjunto com a comunidade de hackers éticos para que ela possa nos ajudar a identificar casos extremos de vulnerabilidade que talvez só possam ser detectados em certos casos de uso e circunstâncias.
É por isso que o Zoom investiu em uma equipe global qualificada de pesquisadores de segurança, por meio de um Programa de prêmio de bug, na plataforma da HackerOne, que é a provedora líder de mercado no recrutamento e relacionamento com profissionais focados em segurança. O acesso aos Programas de prêmio de bug privados só pode ser feito com convite, o que permite às empresas escolher a dedo os pesquisadores, de acordo com seus trabalhos anteriores. A HackerOne calcula estatísticas para cada pesquisador, de acordo com a relação sinal-ruído, o impacto nos programas para os quais eles contribuíram e a reputação que, em conjunto, ajudam a mensurar quão relevante e acionáveis suas descobertas serão.
O Zoom recrutou mais de 800 pesquisadores de segurança na plataforma HackerOne. O trabalho coletivo resultou no envio de inúmeros relatórios de bug e prêmios de mais de US$ 2,4 milhões em recompensas, mercadorias e brindes, desde a estreia do programa. Só em 2021, o Zoom pagou mais de US$ 1,8 milhão em 401 relatórios. Gostaríamos de agradecer a todos que de maneira responsável revelaram bugs ao Zoom e de maneira muito especial aos seguintes pesquisadores que formam a nossa lista dos "Top 10":
No último ano, nossa equipe de Gestão de vulnerabilidade e pagamento de bug (VMBB) focou em enfrentar um cenário competitivo de recrutamento, para que mais pesquisadores de segurança com nível de "rock star" se juntassem ao nosso programa, oferecendo a eles uma experiência excelente.
Para atrair os melhores talentos, estabelecemos os cinco princípios a seguir para ajudar a orientar e aprimorar nosso programa:
políticas claras e concisas do programa que especificam quais tipos de teste são permitidos, detalhes sobre a política "Safe Harbor" do programa e um menu de possíveis intervalos de pagamento de recompensas para tipos de específicos de relatórios de vulnerabilidade.
aprimoramento consistente da amplitude da superfície de ataque, também conhecida como "escopo" de um Programa de prêmio de bug e definição clara do que, especificamente, está fora do escopo ou dos limites do programa.
mitigação da resposta, remediação e do prazo de pagamento do programa. Ninguém gosta de esperar ou sentir que é difícil receber por um trabalho que foi feito, e isso não é diferente com os hackers éticos.
relacionamento profissional e contato direto com os funcionários do Zoom que gerenciam o Programa de prêmio de bug, fazem a seleção dos envios de relatórios e determinam os pagamentos de recompensas.
recompensas competitivas que refletem de maneira precisa o trabalho feito pelos pesquisadores e a gravidade do impacto que uma vulnerabilidade pode ter se ela for explorada.
Evolução do nosso programa
Para apoiar os atuais pesquisadores, além de atrair novos, ao longo de 2021 o Zoom também implementou diversas atualizações importantes no nosso Programa de prêmio de bug. Isso inclui:
substituímos o intervalo de recompensa estática, baseado apenas na gravidade da vulnerabilidade reportada e implementamos um "Menu de Recompensas". Este menu oferece aos pesquisadores valores específicos de recompensa, de acordo com o tipo de vulnerabilidade encontrado e o impacto demonstrado que ela poderia ter nos usuários e na infraestrutura do Zoom. Em janeiro de 2021, o Zoom aumentou a maior recompensa para US$ 50.000, por um único relatório e a menor recompensa para US$ 250.
viabilizamos um Programa de divulgação de vulnerabilidade (VDP), público que permite que qualquer pessoa, e não apenas os pesquisadores de segurança regulares, envie relatórios de vulnerabilidade para o Zoom. Isso simplificou o recebimento de relatórios e permite que as equipes corretas no Zoom sejam envolvidas rapidamente, o que, em última instância, leva a soluções mais rápidas dos bugs e um produto mais seguro.
lançamos em outubro de 2021, nosso Programa de prêmio de bug VIP. Este programa está focado nas versões licenciadas das soluções Zoom e ampliou o escopo dos testes de segurança.
focamos durante todo o ano de 2021, por meio da equipe de VMBB do Zoom, na diminuição dos prazos de resposta inicial, triagem, remediação e pagamento de recompensas. Nossas métricas atuais mostram que o tempo de resposta médio inicial está abaixo de quatro horas, enquanto a triagem completa dos relatórios que chegam leva menos do que 48 horas. Os pagamentos de recompensas são discutidos e analisados semanalmente pela equipe, o que significa que as recompensas são pagas, normalmente, em um prazo de 14 dias a contar do envio do relatório.
organizamos diversas reuniões Zoom para conhecer melhor nossos pesquisadores em todo o mundo e ajudar a definir os relacionamentos existentes com nossos pesquisadores. De estudantes e professores de faculdades até adolescentes talentosos que ainda estão aprendendo a hackear, passando por usuários do Zoom que "observaram algo estranho", há uma diversidade incrível na comunidade de hackers éticos.
Um olhar para o futuro
Aprendemos e crescemos muito em 2021 e estamos empolgados para ampliar estes esforços e trabalhar com mais hackers éticos ao longo de 2022. Se você estiver interessado em ajudar a tornar o Zoom mais seguro, envie um e-mail do seu nome de perfil do HackerOne para bugbounty@zoom.us ou acesse a página de carreiras do Zoom para ter acesso às vagas abertas nas nossas equipes de Confiança e Segurança. Bom hack!
Para saber mais sobre a privacidade e segurança do Zoom, conheça o nosso Trust Center.