Lead Security Engineer

Обзор премиальной программы Bug Bounty компании Zoom по выявлению ошибок 2021 г.

Обзор премиальной программы Bug Bounty компании Zoom по выявлению ошибок 2021 г.

Безопасная и защищенная виртуальная коммуникация — главный приоритет компании Zoom. Основные задачи сотен наших штатных инженеров по безопасности — обеспечение конфиденциальности и целостности сообщений и конференций, а также доступности и надежности нашей международной инфраструктуры. 

Мы знаем, что для предотвращения угроз для наших пользователей и инфраструктуры крайне важно создать надежные средства защиты. Именно поэтому мы постоянно тестируем нашу платформу и инфраструктуру, чтобы выявлять появляющиеся и потенциальные угрозы и уязвимости. 

Использование потенциала сообщества специалистов по безопасности

Zoom тестирует свои решения и инфраструктуру ежедневно, но мы знаем, что необходимо дополнять это тестирование, используя потенциал сообщества этичных хакеров. Они помогают выявлять пограничные уязвимости, которые можно обнаружить только в определенных сценариях использования и при определенных обстоятельствах. 

Именно поэтому Zoom инвестировала в международную команду квалифицированных исследователей по безопасности, создав частную программу Bug Bounty на платформе HackerOne — ведущего в отрасли поставщика по вопросам найма и привлечения профессионалов в сфере безопасности. Доступ к участию в частных программах Bug Bounty предоставляется только по приглашению, так что компании могут тщательно подбирать исследователей по безопасности, учитывая результаты их предыдущих работ. HackerOne подсчитывает статистику каждого исследователя, учитывая его результативность, степень оказанного влияния на программы, в которых он участвовал, и репутацию. Все эти показатели помогают оценить, насколько надежными и практически полезными будут добытые им сведения.  

Компания Zoom приняла на работу более 800 исследователей по безопасности на платформе HackerOne. Результат их совместной работы — множество поданных отчетов об ошибках. Стоимость их наград, полученных с момента запуска программы в форме премий, сувениров и подарков, превысила 2,4 млн долл. США. Только в 2021 г. Zoom выделила на награды более 1,8 млн долл. США за 401 отчет. Мы хотим поблагодарить всех, кто выявил ошибки и ответственно сообщил о них в Zoom, особенно следующих наших 10 лучших исследователей:

todayisnewmrtuxracerandifixitd0xing
badcrackerkawiriskavensgodiegocache-money
Премии, присужденные в 2021 г.

Какой подход к найму мы используем

В прошлом году отдел управления уязвимостями и премиальной программы по выявлению ошибок сосредоточил внимание на управлении наймом в среде компетентных специалистов и привлечении к участию в нашей программе более квалифицированных исследователей по безопасности, предоставив им отличные возможности. 

Для привлечения лучших специалистов мы разработали пять принципов, способствующих координированию и оптимизации нашей программы, которые изложены ниже.

  • Четкие и краткие правила программы, описывающие виды разрешенного тестирования, сведения о правиле безопасной гавани, а также список диапазонов возможных премиальных выплат за отчеты о конкретных типах уязвимостей.
  • Последовательное расширение направлений атак, то есть сферы применения программы Bug Bounty, и четкое определение того, что конкретно в эту сферу не входит (выходит за ее рамки).
  • Минимизация сроков предоставления ответов в рамках программы, исправления и выплаты премий. Никто не хочет ждать, пока его услышат и заплатят ему за работу, в том числе и этичные хакеры.
  • Профессиональные отношения и прямые контакты с сотрудниками Zoom, которые управляют программой Bug Bounty, установление очередности рассмотрения поданных отчетов и определение сумм премиальных выплат.
  • Конкурентоспособные премиальные выплаты, точно соответствующие объему работы, выполненной исследователями, и уровню серьезности последствий уязвимости, которой бы могли воспользоваться.

Развитие нашей программы

Чтобы поддержать текущих исследователей и привлечь новых эффективных кадров, Zoom также внесла несколько основных изменений в нашу программу Bug Bounty 2021 г. Подробности описаны ниже.

  • Мы отказались от статического диапазона премиальных выплат, сумма которых определялась только в зависимости от степени серьезности сообщенной уязвимости. Вместо этого мы создали список выплат, в котором представлены суммы премий в зависимости от типа обнаруженной уязвимости и продемонстрированных последствий для пользователей и инфраструктуры Zoom, если бы ею воспользовались. В январе 2021 г. Zoom повысила максимальную сумму в таблице премий до 50 000 долл. США за один отчет, а минимальную — до 250 долл. США.
  • Мы внедрили публичную программу раскрытия информации об уязвимостях, в которой мог поучаствовать и отправить в Zoom отчеты об уязвимостях кто угодно, а не только широко известные исследователи по безопасности. Это способствовало оптимизации приема отчетов и позволило быстро вовлекать соответствующие команды Zoom, и в конечном итоге ошибки исправлялись быстрее, а продукты становились более безопасными.
  • В октябре 2021 г. мы запустили нашу VIP-программу Bug Bounty. Программа сосредоточена на лицензированных версиях решений Zoom и имеет расширенную область тестирования безопасности.
  • На протяжении 2021 г. отдел управления уязвимостями и премиальной программы по выявлению ошибок Zoom работал над сокращением сроков предоставления первоначального ответа, установления очередности, исправления и премиальных выплат. Наши текущие показатели свидетельствуют о том, что среднее время предоставления первоначального ответа составляет менее четырех часов, а полный срок установления очередности рассмотрения входящих отчетов обычно составляет менее 48 часов. Команда еженедельно обсуждает и пересматривает премиальные выплаты, и это значит, что премии обычно выплачивают в течение 14 дней после подачи отчета.
  • Чтобы построить долгосрочные отношения с нашими исследователями, компания Zoom провела несколько конференций Zoom для знакомства с исследователями со всего мира. Сообщество этичных хакеров включает в себя невероятное разнообразие людей: учащиеся колледжей, профессора, талантливые подростки, которые еще учатся хакерской работе, и обычные пользователи Zoom, «заметившие что-то странное». 

Перспективы на будущее

Мы многому научились и многого достигли в 2021 г. и стремимся расширить усилия в этом направлении и привлечь к работе больше этичных хакеров в 2022 г. Если вы хотите помочь повысить уровень безопасности Zoom, отправьте свое имя профиля на платформе HackerOne на адрес электронной почты bugbounty@zoom.us. Также можно посетить страницу вакансий Zoom, где представлены незамещенные должности в отделах обеспечения доверия и безопасности. Удачного хакерства!

Чтобы получить дополнительную информацию о конфиденциальности и безопасности Zoom, обратитесь в наш Trust Center.

Не забудьте поделиться этой публикацией