Lead Security Engineer

Zoom 的 Bug 报告奖励计划:2021 年回顾

Zoom 的 Bug 报告奖励计划:2021 年回顾

Zoom 的首要任务是实现安全可靠的虚拟通信。 消息和会议的保密性和完整性,以及全球基础设施的可用性和可靠性,是我们数百名内部安全工程师的主要关注点。

为提前防范对用户和基础设施造成的威胁,我们知道构建强大的防御机制至关重要。因此,我们不断测试平台和基础设施,以识别新出现和潜在的威胁以及安全漏洞。

运用安全社区的力量

虽然 Zoom 每天都会测试我们的解决方案和基础设施,但我们知道利用白帽黑客社区协助识别可能仅在特定使用场景和情况下才能察觉到的边缘案例漏洞,对于增强这类测试而言非常重要。

因此,Zoom 通过 HackerOne 平台的私人 Bug 报告奖励计划招募了一支技术娴熟的全球安全研究人员团队,HackerOne 是业界领先的安全专家招募与互动平台供应商。 私人 Bug 报告奖励计划仅限受邀者参加,可让各公司根据自己先前的工作精心挑选安全研究人员。 HackerOne 根据每个研究人员的信噪比、对其所贡献计划的影响以及声誉(所有这些因素都有助于衡量调查结果的关联性和可操作性),来计算他们的统计数据。  

Zoom 已在 HackerOne 平台上招募了 800 多位安全研究人员。 自引入该计划以来,他们分工合作提交了大量问题报告,并且获得的赏金、奖励和礼品已超过 240 万美元。 仅 2021 年,Zoom 就为 401 份报告发放了 180 万美元以上的赏金。 我们要感谢尽责地向 Zoom 披露问题的所有人员,特别要感谢以下入选“前十强”的研究人员:

todayisnewmrtuxracerandifixitd0xing
badcrackerkawiriskavensgodiegocache-money
2021 年颁发的赏金

我们的招募方式

过去一年,我们的“漏洞管理和 Bug 报告奖励”(VMBB) 团队专注于浏览竞争激烈的招聘环境,并通过提供完美体验吸引更多“摇滚明星”般的安全研究人员加入我们的计划。

为了吸引顶尖人才,我们确立了以下五大原则,帮助指导和改进我们的计划:

  • 简明扼要的计划策略,其中详细说明允许使用的测试类型、有关计划的“安全港”策略的详细信息,以及特定类型漏洞报告的潜在赏金支付范围选项单。
  • 持续增加攻击面广度(也称为 Bug 报告奖励计划的“范围”),并明确定义范围之外或禁止探讨的内容。
  • 尽可能缩短计划响应、补救和支付的时间范围。 没有人喜欢等待他人聆听自己的想法或等待他人支付工作薪酬,白帽黑客也不例外。
  • 与管理 Bug 报告奖励计划、提交分类筛选报告以及确定赏金支付的 Zoom 员工建立职场人际关系和直接关系。
  • 以丰厚的赏金准确体现研究人员的工作价值,以及漏洞遭到恶意利用后可能产生影响的严重程度。

发展我们的计划

为了支持现有研究人员并吸引新生力量,Zoom 还在 2021 年对 Bug 报告奖励计划实施了若干项重要更新。 其中包括:

  • 我们去除了仅根据上报的漏洞严重程度为基准的固有赏金范围,并实施了“赏金选项单”。此选项单根据找到的漏洞类型以及该漏洞对 Zoom 用户和基础设施可能造成的影响,为研究人员提供具体的赏金金额。 2021 年 1 月,Zoom 将单份报告的赏金表上限提升至 5 万美元,将下限提升至 250 美元。
  • 我们已启用公开漏洞披露计划 (VDP),该计划允许任何人(不仅仅是既有的安全研究人员)向 Zoom 提交漏洞报告。 此计划简化了报告接纳过程,并使 Zoom 的相应团队能够快速介入,最终加快错误修复速度并提高产品安全性。
  • 2021 年 10 月,我们推出了 VIP Bug 报告奖励计划。 此计划侧重于 Zoom 解决方案的授权版本,并且已扩大安全测试范围。
  • 在整个 2021 年,Zoom VMBB 团队致力于缩短初始响应、分类筛选、补救和奖金支付的时间。 我们当前的指标显示,平均初始响应时间不到 4 小时,而对传入的报告进行全面分类通常花费不到 48 小时。 团队每周对赏金支付情况进行讨论和复核,这表示赏金通常会在报告提交后的 14 天内进行支付。
  • 为协助与我们的研究人员建立持续性关系,Zoom 与世界各地的研究人员举行了数次 Zoom Meetings 见面会。 白帽黑客社区中有很多能人异士,包括大学生、专家、刚开始学习黑客技术的天才青少年以及“注意到异样情况”的 Zoom 普通用户。

展望未来

我们在 2021 年收获良多,我们希望在 2022 年继续努力,并与更多白帽黑客合作。 如果您有兴趣帮助 Zoom 提升安全性,请通过电子邮件将您的 HackerOne 个人信息名称发送至 bugbounty@zoom.us,或者访问 Zoom 招贤纳士页面查看“信任与安全”团队的空缺职位。 尽享黑客之乐!

要了解更多关于 Zoom 隐私和安全的信息,请浏览我们的 Trust Center

记得分享本博文