安全性與隱私權

保護 Zoom 和我們的客戶:Zoom 錯誤賞金計畫在 2022 年的成果概覽

讓我們來看看 Zoom 錯誤賞金計畫在過去一年中獲得的成就。
3 閱讀分鐘

更新日期 March 19, 2023

發佈日期 March 20, 2023

Bug bounty 2022

2022 年回顧 

Zoom 每天進行基礎設施測試,但我們知道無法避免邊緣案例漏洞。 因此,我們尋求道德駭客社群的支援,他們有時能夠偵測到只能在特定情況下發現的錯誤。

這就是為什麼我們的錯誤賞金計畫側重於招募技術嫻熟、高效率的研究人員。 在 2022 年,我們向研究人員發出額外邀請,延攬他們加入我們的 HackerOne 計畫,著重於吸引活躍的安全人才。 我們也希望在計畫之外尋找人才,因此我們透過 H1-702 等產業活動接觸相關社群。

這些研究人員辛勤工作協助我們,因此,我們努力歡慶成功的報告提交。 在 2023 會計年度,自該計畫啟動以來,我們已向數百名研究人員提供 390 萬美元的賞金,迄今總計超過 700 萬美元。 

除了識別漏洞之外,外部研究人員的支援也協助我們在 Zoom 取得其他形式的進步。 我們使用這些報告來展示需要注意的項目、標記問題的根本原因、建立更好的跨職能協調,並在潛在威脅成為問題之前將它們一一揪出。 因此,在過去兩年中,我們在解決錯誤賞金報告的時間上有了顯著改善。

更新 2023 年及未來的計畫 

今年年初,我們重組團隊並為 2024 會計年度的計畫開發更新項目。 我們評估了目前在計畫中的研究人員,確保每個人都能積極參與並做出貢獻。 我們希望在新的一年邁出正確的一步,而這一切皆始於與高素質、高效率的研究人員合作。

Zoom 的錯誤賞金計畫還實作了全新的漏洞影響評分系統,以協助研究人員發揮最佳的工作表現。 我們將繼續使用產業標準「通用漏洞評分系統」(CVSS) 對報告進行評分,同時持續改進我們的計畫,推出名為「漏洞影響評分系統」(VISS) 的配套評分系統。該系統針對報告的每個漏洞,分析 13 種與 Zoom 基礎設施、技術和客戶資料安全相關之層面的影響。 隨著 VISS 開始實施,錯誤賞金可以更專注於負責任地衡量所展示的影響,而不是專注於理論上可能的漏洞利用。

展望未來 

隨著 Zoom 錯誤賞金計畫在過去一年的發展,我們將持續推動並使我們的流程、賞金獎勵和測試範圍等更加成熟。 我們非常高興看到全新評分系統帶來的影響,以及我們的研究人員在 2023 年所能帶來的良好效應。 

如果您有興趣協助提高 Zoom 的安全性,請將您的 HackerOne 個人資料名稱以電子郵件寄送至 bugbounty@zoom.us,或前往 Zoom 徵才頁面以查看信任和安全團隊中的工作職缺。 駭客愉快!

如欲深入瞭解 Zoom 的隱私權和安全性,請參閱我們的 Trust Center

客戶對我們讚譽有加

Okta
Nasdaq
Rakuten
Logitech
Western Union
Autodesk
Dropbox
Okta
Nasdaq
Rakuten
Logitech
Western Union
Autodesk
Dropbox

Zoom - 同一平台,連繫遠近