Lead Security Engineer

Zoom 的錯誤賞金計畫:2021 年回顧

Zoom 的錯誤賞金計畫:2021 年回顧

安全可靠的虛擬通訊是 Zoom 的首要考量。 訊息和會議的機密性與完整性,以及我們全球基礎設施的可用性與可靠性,是我們數百名內部安全工程師的主要關注焦點。

為了提前防範對我們的使用者和基礎設施造成的威脅,我們知道建構強大的防禦機制至關重要。因此,我們不斷測試我們的平台和基礎設施,以識別新出現和潛在的威脅,並識別安全漏洞。

運用安全社群的強大力量

雖然 Zoom 每天都在測試我們的解決方案和基礎設施,但我們知道運用道德駭客社群,協助識別可能僅在部分使用案例和狀況中才能偵測到的邊緣案例漏洞,對於增強這類測試而言非常重要。

因此,Zoom 透過 HackerOne 平台的私人錯誤賞金計畫,投資了一支技術嫻熟的全球安全研究團隊,HackerOne 是領先業界的安全專業人士招聘與互動服務業者。 私人錯誤賞金計畫僅接受邀請,可讓公司根據先前的工作成果,親自挑選安全研究人員。 HackerOne 根據每個研究人員的訊噪比、對其所貢獻計畫的影響以及聲譽計算統計數據,這一切都有助於衡量其研究結果的相關性和可執行性。  

Zoom 已在 HackerOne 平台上招聘超過 800 名安全研究人員。 自該計畫推出以來,他們共同的工作提交了大量錯誤報告,並獲得超過 240 萬美元的賞金、贈品和禮物。 光是 2021 年,Zoom 就為 401 份報告發出超過 180 萬美元的賞金。 我們要感謝盡責向 Zoom 揭露錯誤的所有人,尤其是以下進入我們「前 10 名」名單的研究人員:

todayisnewmrtuxracerandifixitd0xing
badcrackerkawiriskavensgodiegocache-money
2021 年發出的錯誤賞金

我們如何進行招聘

過去一年,我們的漏洞管理和錯誤賞金 (VMBB) 團隊專注於瀏覽競爭激烈的招聘環境,並透過提供優異的體驗吸引更多「搖滾明星」般的安全研究人員加入我們的計畫。

為了吸引頂尖人才,我們制定以下五項原則來協助指導和改進我們的計畫:

  • 清晰簡潔的計畫政策,其中說明允許進行哪些類型的測試、有關計畫的「安全港」政策的詳細內容,以及特定類型漏洞報告的潛在賞金支付範圍項目表。
  • 持續增加攻擊面廣度,也稱為錯誤賞金計畫的「範圍」,並明確定義超出範圍或禁區的內容。
  • 大幅縮短計畫回應、補救和支付的時間範圍。 沒有人喜歡等待他人來聆聽,或等待獲取其工作報酬,這也包括道德駭客。
  • 與管理錯誤賞金計畫、分類報告提交和決定賞金支付的 Zoom 員工建立專業關係和直接交誼。
  • 以具有競爭性的賞金準確反映研究人員的工作,以及漏洞遭到利用後可能產生影響的嚴重程度。

發展我們的計畫

為了支援現有研究人員並吸引新血加入,Zoom 還在 2021 年對我們的錯誤賞金計畫實施了幾項關鍵更新。 其中包含:

  • 我們移除了僅以所報告漏洞的嚴重性為基準的靜態賞金範圍,並實施「賞金項目表」。此項目表根據所發現的漏洞類型,以及其對 Zoom 使用者和基礎設施可能產生的影響,提供研究人員特定的賞金金額。 2021 年 1 月,Zoom 將單份報告的賞金表上限提高至 50,000 美元,將下限提高至 250 美元。
  • 我們啟用了公開的漏洞揭露計畫 (VDP),此計畫允許任何人 (不僅是成熟的安全研究人員) 向 Zoom 提交漏洞報告。 這簡化了報告的接收,並可讓 Zoom 最適合的團隊快速參與,最終帶來更快的錯誤修復和更安全的產品。
  • 2021 年,我們推出了 VIP 錯誤賞金計畫。 此計劃聚焦於 Zoom 解決方案的授權版本,並擴大安全測試的範圍。
  • 在整個 2021 年,Zoom VMBB 團隊致力於縮短初始回應、分類、補救和賞金支付的時間。 我們目前的指標顯示,平均初始回應時間不到 4 小時,而對傳入報告的完整分類通常不到 48 小時。 賞金支付由團隊每週討論和審查,這表示賞金通常會在提交報告後的 14 天內支付。
  • 為了協助與我們的研究人員建立持續的關係,Zoom 與世界各地的研究人員舉行了數次的 Zoom 見面會。 從大學生和教授到剛開始學習駭客技術的天才青少年,再到「注意到一些奇怪事情」的 Zoom 日常使用者,道德駭客社群存在著令人難以置信的多樣性。

展望未來

我們在 2021 年學習並成長了許多,很高興能在 2022 年擴大這些努力成果,並與更多道德駭客合作。 如果您有興趣協助提高 Zoom 的安全性,請將您的 HackerOne 個人資料名稱以電子郵件寄送至 bugbounty@zoom.us,或前往 Zoom 徵才頁面以查看信任和安全團隊中的工作職缺。 駭客愉快!

如欲深入瞭解 Zoom 的隱私權和安全性,請參閱我們的 Trust Center

不要忘記分享此篇發文