Security Manager

Bảo mật cho tương lai: Zoom hợp tác với HackerOne tại sự kiện H1-4420

Bảo mật cho tương lai: Zoom hợp tác với HackerOne tại sự kiện H1-4420

Tại Zoom, bảo mật và quyền riêng tư không chỉ là những từ nói theo xu hướng, mà là một phần trong văn hóa và các sáng kiến chủ chốt của chúng tôi. Trong bối cảnh an ninh mạng phát triển liên tục, chúng tôi biết điều việc nỗ lực đón đầu các mối đe dọa tiềm ẩn là thiết yếu. Đó là lý do chúng tôi tận dụng chuyên môn của cộng đồng hacker có đạo đức để hỗ trợ nhận diện và giải quyết các lỗ hổng trước khi tội phạm công nghệ cao khai thác chúng. Một trong những cách để đạt được điều này là qua quan hệ đối tác của chúng tôi với HackerOne và sự tham gia của chúng tôi trong các sự kiện hacking (xâm nhập dữ liệu trái phép) trực tiếp của họ.

Chúng tôi rất vinh dự được là nhà tài trợ cho sự kiện HackerOne H1-4420 năm nay. Sự kiện diễn ra vào ngày 22 tháng 6 năm 2023 tại CodeNode, London. Sự kiện này mang đến cho chúng tôi một cơ hội vô giá để cộng tác với một số hacker có đạo đức tài năng nhất trên khắp thế giới, tất cả làm việc cùng nhau để hỗ trợ nâng cao bảo mật cho nền tảng Zoom. Bằng cách chủ động tham gia vào cộng đồng này, chúng tôi không chỉ có thể giảm thiểu rủi ro mà còn thúc đẩy sự sáng tạo và liên tục cải thiện dịch vụ.

Tập hợp những hacker hàng đầu thế giới

Sự kiện H1-4420 tập hợp hơn 90 chuyên gia bảo mật từ hơn 41 quốc gia, tham gia theo cả hình thức trực tiếp và trực tuyến. Những hacker dày dạn kỹ năng này kiểm tra kỹ lưỡng nền tảng Zoom, tìm kiếm những lỗ hổng tiềm ẩn ở một loạt các sản phẩm, từ Zoom Mail và Zoom Calendar đến Zoom IQ. Nỗ lực của họ mang đến sự hỗ trợ vô giá, giúp chúng tôi phát triển sản phẩm và bảo vệ khách hàng tốt hơn. Chúng tôi vô cùng biết ơn sự đóng góp của họ.

Những người có thành tích tốt nhất tại H1-4420 để nhận tiền thưởng và các loại tri ân khác bao gồm:

Hạng nhất và danh hiệu Hacker tìm được lỗi khó nhất: cache-money

Hạng nhì và danh hiệu Hacker cẩn trọng nhất: f6x

Hoạt động cộng tác tốt nhất: tomanthony, todayisnew, hx01shubs.

Chúng tôi tự hào có cơ hội hỗ trợ HackerOne vinh danh và ủng hộ việc hack có đạo đức và hiệu quả của những cá nhân trên. 

Đánh giá lỗi: đánh giá lỗ hổng bằng CVSS và VISS

Những hacker tham gia H1-4420 trải qua quy trình đánh giá lỗi nâng cao dùng cả cách tiếp cận Hệ thống chấm điểm lỗ hổng thường gặp (CVSS) thông thường Hệ thống chấm điểm tác động lỗ hổng (VISS) mới của Zoom. Với VISS, chúng tôi đã vượt qua phân tích ở cấp độ bề mặt và đánh giá tác động đã chứng minh của mỗi lỗi trên nền tảng Zoom.

Bằng việc đưa VISS vào chương trình săn lỗi, chúng tôi hỗ trợ nhóm của mình phân bổ nguồn lực hiệu quả và tập trung vào những lỗ hổng nghiêm trọng nhất. Cách tiếp cận chủ động này nâng cao tình trạng bảo mật tổng thể của chúng tôi, giúp bảo đảm một môi trường an toàn và bảo mật cho quý khách hàng. Cam kết của Zoom về các biện pháp thực hành bảo mật mạnh mẽ và xây dựng lòng tin với khách hàng được chứng minh qua việc áp dụng VISS, khi chúng tôi liên tục nỗ lực đi đầu trong việc theo đuổi không ngừng nghỉ các biện pháp bảo mật toàn diện.

Sử dụng AI và săn lùng những điều thú vị ẩn giấu trong Zoom

Đối với sự kiện năm nay, Zoom cũng tạo ra ba điều thú vị ẩn giấu dưới dạng câu đố thêm để những người tham giải đáp. Mỗi bài trong ba câu đố liên quan đến việc phá vỡ các thuật toán mã hóa khác nhau bằng các loại khai thác khác nhau. Trong một ví dụ, một hacker mang tên “rez0” sử dụng công cụ AI để hỗ trợ tạo các danh sách từ mới nhằm giúp cách tiếp cận tấn công mạng brute force của họ để giải câu đố. Chúng tôi liên tục chứng kiến các hacker sử dụng công cụ AI để thực hiện hiệu quả hơn trong các nỗ lực phát hiện và khai thác lỗ hổng.

Khơi nguồn sáng tạo, tràn đầy hứng khởi: các hoạt động cho hacker

Sự kiện không chỉ có hoạt động hacking và các cuộc thảo luận về an ninh mạng. Chúng tôi cũng muốn tạo ra một không khí vui vẻ và thoải mái cho những người tham gia. HackerOne thiết lập một trạm bưu thiếp tùy chỉnh mà hacker có thể gửi bưu thiếp về nhà, cho phép họ nghỉ giải lao vui vẻ ngoài công việc của mình. Thêm nữa, chúng tôi có một bức tường tô màu mà hacker có thể thể hiện sự sáng tạo và tận hưởng giây phút sáng tạo nghệ thuật. Chúng tôi tin rằng một môi trường cân bằng và thú vị sẽ thúc đẩy hoạt động cộng tác và khơi nguồn các ý tưởng mới.

Bưu thiếp
Một người tham dự bắt đầu viết bưu thiếp để gửi về nhà.

Trao thưởng cho những nhà nghiên cứu: tác động của chương trình săn lỗi của Zoom

Vào năm tài chính trước, Zoom đã trao 3,9 triệu USD tiền thưởng cho hàng trăm nhà nghiên cứu, đưa tổng số tiền thưởng được trao qua chương trình săn lỗi của chúng tôi lên hơn 7 triệu USD từ ngày bắt đầu chương trình. Khoản đầu tư này phản ánh sự quyết tâm của chúng tôi trong việc duy trì mức bảo mật và quyền riêng tư cao nhất cho khách hàng.

Bên cạnh việc liên tục phát triển Chương trình săn lỗi, các sự kiện như H1-4420 chính là lời nhắc nhở về sức mạnh của sự cộng tác và các nỗ lực tập thể cần thiết để giúp đi đầu trong bối cảnh an ninh mạng. Bằng cách làm việc chặt chẽ với các hacker có đạo đức trên toàn cầu, chúng tôi có thể chủ động giải quyết các lỗ hổng và tạo ra một môi trường an toàn hơn cho các khách hàng.

Để tìm hiểu thêm về các nỗ lực hack có đạo đức và Chính sách tiết lộ lỗ hổng của chúng tôi, vui lòng truy cập trang Chương trình săn lỗi.

Ghi chú của biên tập viên: Bài đăng trên blog này được biên tập vào ngày 31 tháng 7 năm 2023 để bao gồm các thông tin cập nhật nhất của chương trình săn lỗi của chúng tôi. 

Don't forget to share this post