Zoom 在 2023 财年向漏洞赏金猎人支付了 390 万美元,这意味着其漏洞赏金计划现已超过 700 万美元。
该计划于 2021 年 10 月开始,呼吁道德黑客社区的专业知识来寻找 Zoom 平台中的漏洞。作为回报,根据 Zoom 2021 年的数据,Zoom 为每个漏洞平均支付近 4500 美元。
为了吸引专业黑客,Zoom 通过网络安全公司 HackerOne 创建了一个私人程序,Zoom 将其描述为与 IT 安全专业人员联系的“行业领先提供商”。它还试图通过 H1-702 等活动吸引人才。
Zoom 的安全经理罗伊·戴维斯 (Roy Davis)说:“在安全方面,一切都取决于谁先到达那里。
“我们通过 Zoom Bug Bounty 计划获得这种帮助,该计划使我们能够联系并聘请专家研究人员,帮助我们主动降低风险并为我们的客户创造更安全的环境。在过去的一年里,我们作为一个社区取得了很多成就。”
除了定位漏洞外,黑客还通过许多其他方式帮助 Zoom 改进其服务。在需要注意的详细区域发送的错误报告,突出根本原因,加强跨职能协调,并在威胁引起问题之前将其隔离。
Zoom 的安全团队现在也以比刚开始时快得多的速度解决报告。
2023 年及未来更新
Zoom 对其团队进行了“重组”,并为 2024 财年计划制定了更新,这可能与上个月 Zoom 裁员15% 的员工有关。研究人员根据他们的贡献水平进行评估,Zoom 表示这将创建一个更有效的工作组,并使其在未来处于更好的位置。
Zoom 的 Bug Bounty 计划正在更新其漏洞评分系统,添加了一个配套评分系统,即漏洞影响评分系统 (VISS),以与行业标准通用漏洞评分系统 (CVSS) 结合使用。
VISS 预计将通过评估 Zoom 基础设施、技术和客户数据安全的 13 个影响领域来提高提交质量。它将有助于衡量弱点的潜在影响,在任何和所有理论开发之外增加更多的背景。
HackerOne
HackerOne 是一家网络安全公司,专门通过使用道德黑客和其他技术进行攻击抵抗管理。HackerOne 网站声称其成员总共获得了超过 1 亿美元的奖励。
去年,戴维斯解释了雇用 HackerOne 专业人员的好处:“虽然 Zoom 每天都在测试我们的解决方案和基础设施,但我们知道通过利用道德黑客社区来帮助识别可能只能在某些用例和情况。
“这就是为什么 Zoom 通过 HackerOne 平台上的私人漏洞赏金计划投资了一支技术娴熟的全球安全研究人员团队,该平台是业界领先的招聘和接触安全专业人士的供应商。”
2022 年,Zoom 报告称已通过 HackerOne 平台招募了 800 多名黑客。诸如此类的私人漏洞赏金计划仅限受邀者参与,并包含研究人员必须满足的一系列资格标准,才能参与 Zoom 漏洞赏金计划。
例如,研究人员不得在过去 12 个月内受雇于 Zoom。该漏洞必须是原创的并且由提交报告的人发现。当前正在修复的错误等将不会发放任何奖励。
还有一长串供黑客遵循的行为准则,最终确保不会对 Zoom 或其客户产生负面影响的道德行为。
去年,Zoom宣布了多项隐私和安全更新,包括新的第三方认证、隐私功能和安全协作。
本文来自作者投稿,版权归原作者所有。如需转载,请注明出处:https://www.nxrte.com/zixun/18838.html
