創造一個安全可靠的線上通訊是Zoom的首要任務。資訊及會議的機密性和完整性,全球基礎架構的可用性和可靠性,這些都是我們數百名內部安全工程師主要關注的項目。
為了預先了解系統及用戶可能會遇到的潛在威脅,我們了解建立強大的防禦系統將是一項挑戰,這就是為什麼我們不斷的測試Zoom平台的及基礎架構以鑑別潛在威脅並識別其漏洞。
運用社群的安全力量
Zoom每天都在測試我們的解決方案和基礎架構,但我們知道透過白帽駭客來增強測試,幫忙識別可能僅在某些用例和情況下才能檢測到的邊緣漏洞也非常重要。
這就是為什麼Zoom透過私人漏洞賞金計劃投資了一項由HackerOne平台,為一群技術嫻熟的全球安全研究人員領導的團隊,HackerOne 是業界首屈一指的招聘/ 觸資安相關專家的服務供應商。私人漏洞賞金計劃僅限受邀者參加,允許企業根據專家以前的工作經驗親自挑選安全研究人員。HackerOne根據每位研究人員的訊躁比,對他們執行的項目的貢獻/影響力以及聲譽計算統計數據,這些都有助於衡量他們的研究結果的相關性和執行程度。
Zoom在HackerOne平台上招募了800多名安全研究人員。自該計劃推出以來,他們有效率地的共同工作產出/提交了大量錯誤報告,並獲得了超過240萬美元的賞金、好處和禮物。僅在 2021年,Zoom就401份報告中提供了超過180萬美元的獎勵。我們要感謝所有負責任地向 Zoo 披露錯誤的人,尤其是以下進入我們"前10名"名單的研究人員:
我們如何進行招聘
在過去的一年裡,我們的漏洞管理和漏洞賞金(VMBB)團隊專注於引領競爭激烈的招聘環境,並透過他們提供出色的體驗來吸引更多知名安全研究人員加入我們的計劃。
為了吸引頂尖人才,我們制定了以下五項原則來幫助指導和改進我們的計劃:
- 簡單明瞭的計劃政策並說明允許的測試類型、有關計劃"避風港(Safe Harbor)"政策的詳細信息,以及針對特定類型漏洞報告的潛在賞金支付範圍清單。
- 不斷增加攻擊面的廣度,也為漏洞賞金計劃的一部分,並明確定義那些內容超出界線或禁止範圍。
- 最大限度減少計劃回應、補救和獎金支付時間。沒有人喜歡很慢的回應或延遲的報酬,這包括網絡安全專家。
- 與Zoom的漏洞賞金計劃專職管理人員建立專業及直接的聯繫,以進行提交的報告分類和賞金支付標準。
- 具優勢的競爭性獎金,準確反映了研究人員所付出的辛勞,以及如果漏洞被利用可能產生的影響嚴重性。
計畫發展
為了支持現有研究人員及招攬新人才,Zoom還在2021年對我們的漏洞賞金計劃實施了幾項關鍵更新。其中包括:
- 我們不僅基於報告的漏洞嚴重性來設定固定的賞金範圍,並實施了"賞金清單"。該清單根據發現的漏洞類型及其對 Zoom 用戶和基礎架構可能產生的影響,為研究人員提供特別的賞金。2021年1月,Zoom將單份報告的懸賞表上限提高到50,000 美元,將下限提高到 250 美元。
- 我們啟用了公共漏洞披露計劃 (VDP),該計劃允許任何人{不僅是已建立的安全研究人員)向Zoom提交漏洞報告。這簡化了報告的接收,並允許Zoom的相關部門團隊快速參與,能更快的修復錯誤並讓產品更安全完善。
- 2021年10月,我們啟動了VIP漏洞賞金計劃。該計劃專注於研究Zoom付費的解決方案版本,並擴大了安全測試的範圍。
- 在整個2021年,Zoom VMBB 團隊專注於減少初始回應、分類、補救和賞金支付時間。我們當前的指標顯示,平均初始回應時間不到4小時,而對傳入報告進行完整分類通常不超過48小時。賞金支付由團隊每週討論和審查,這意味著賞金通常在提交報告後的14天內支付。
- 為闡明我們與研究人員持續建立的關係,Zoom與世界各地的研究人員舉行了多次線上會議。 從大學生和教授,以及青年少年新手駭客,再到"注意到了一些奇怪情況"的日常Zoom用戶,在白帽駭客社群內中有著令人難以置信的多樣性。
展望未來
我們在2021年學到了很多東西,也成長了很多,我們很高興能在2022年擴大這些努力,並與更多的白帽駭客合作。 如果您也對這計劃有興趣,歡迎您將您的HackerOne履歷寄至bugbounty@zoom.us或訪問 Zoom careers page查詢Trust and Security團隊的公開的徵才資訊。
想了解Zoom如何為遠距工作團隊提供安全和可靠的會議的更多訊息,請參考部落格的最新資訊或來信0800@zoomnow.net 進行服務規劃。
原文參考: Zoom’s Bug Bounty Program: 2021 in Review (blog.zoom.us)