Security & Privacy

Säkra framtiden: Zoom deltar i HackerOnes H1-4420-evenemang

Vi är mycket glada över att ha kunnat sponsra årets HackerOne H1-4420-evenemang på CodeNode i London den 22 juni 2023.

4 minuters läsning

Uppdaterad den August 02, 2023

Publicerad den July 24, 2023

I denna blogg

01 Föra samman världens främsta hackare - Jumplink to Föra samman världens främsta hackare
02 Utvärdera buggar: bedömning av sårbarheter med CVSS och VISS - Jumplink to Utvärdera buggar: bedömning av sårbarheter med CVSS och VISS
03 Använda AI och leta rätt på Zooms påskägg - Jumplink to Använda AI och leta rätt på Zooms påskägg
04 Släppa loss kreativitet och glädje: Aktiviteter för hackare - Jumplink to Släppa loss kreativitet och glädje: Aktiviteter för hackare
05 Belöna forskare: Effekten av Zooms belöningsprogram för fel - Jumplink to Belöna forskare: Effekten av Zooms belöningsprogram för fel

Roy Davis

Säkerhetschef

Säkerhet och integritet är inte bara modeord hos Zoom, de är en del av vår kultur och finns bland våra nyckelinitiativ. I ett cybersäkerhetslandskap som ständigt förändras vet vi att det är väsentligt att försöka ligga steget före när det gäller potentiella hot. Därför försöker vi dra nytta av expertisen hos de etiska hackarnas community och med deras hjälp identifiera och ta itu med sårbarheter innan de kan utnyttjas av personer med skadligt uppsåt. Vårt tillvägagångssätt för att uppnå detta är genom vårt partnerskap med HackerOne och genom att delta i deras live hacking-evenemang.

Vi är mycket glada över att ha kunnat sponsra årets HackerOne H1-4420-evenemang på CodeNode i London den 22 juni 2023. Detta evenemang gav oss en ovärderlig möjlighet till samarbete med några av världens mest begåvade, etiska hackare, där vi tillsammans hjälptes åt att utöka Zoom-plattformens säkerhet. Genom att aktivt samarbeta med denna community kan vi inte bara motverka riskerna, men också främja innovationen och dessutom fortsätta förbättra våra tjänster.

H1-4420-evenemanget förde samman över 90 säkerhetsexperter från fler än 41 länder, med både personligt och virtuellt deltagande. Dessa skickliga hackare satte Zoom-plattformen under lupp och sökte efter potentiella sårbarheter inom flertalet produkter, allt från Zoom Mail and Calendar till Zoom AI Companion. Deras insatser gav oss ovärderliga insikter som hjälper oss utveckla våra produkter och ge våra kunder ett bättre skydd. Vi är ytterst tacksamma för deras bidrag.

Följande presterade bäst under H1-4420 och kvalificerade sig för belöningsutbetalning och andra kategorier:

Första plats och titeln ”Exterminator”: cache-money

Andra plats och titeln ”Vigilante”: f6x

Bästa samarbete: tomanthony, todayisnew, hx01 och shubs

Vi är stolta över att få fira detta tillfälle med HackerOne och få främja dessa individers strategiska, etiska hackande.

Hackarna som deltog i H1-4420 gick igenom ett avancerat förfarande för utvärdering av buggar, där de använde både det konventionella Common Vulnerability Scoring System (CVSS, en metod för att beräkna allvarlighetsgraden kvalitativt) och Zooms nya Vulnerability Impact Scoring System (VISS, för bedömning av sårbarhetens effekt). Med VISS gjorde vi mer än bara en ytlig analys och kunde utvärdera den påvisade effekten av varje bugg på Zoom-plattformen.

Genom att införliva VISS i vårt belöningsprogram för fel gör vi det möjligt för vårt team att allokera sina resurser på effektivt sätt och fokusera på de sårbarheter som är mest kritiska. Detta proaktiva tillvägagångssätt stärker vår övergripande säkerhetsställning och sörjer för en trygg och säker miljö för våra värderade kunder. Exempel på Zooms satsning på robust säkerhetspraxis och att skapa förtroende hos våra kunder ses i lanseringen av VISS, som utgör en del i våra fortsatta ansträngningar att ligga steget före i den pågående strävan efter heltäckande säkerhetsåtgärder.

För årets evenemang skapade Zoom även tre ”påskägg”-pussel som deltagarna kunde lösa. Vart och ett av de tre pusslen inkluderade olika krypteringsalgoritmer att knäcka genom att utnyttja olika typer av sårbarhet. I ett fall använde hackaren som kallar sig ”rez0” ett AI-verktyg för att skapa nya ordlistor. Dessa använde hen i sitt tillvägagångssätt, en råstyrkeattack, för att lösa pusslet. Vi ser fortsatt att hackare använder AI-verktyg för bli ännu mer effektiva i sina ansträngningar att upptäcka och utnyttja sårbarheter.

Evenemanget handlade inte bara om hackande och diskussioner om cybersäkerhet. Vi ville skapa en trevlig och avslappnad stämning för våra deltagare. HackerOne ställde upp en vykortsstation där hackarna kunde anpassa och skicka hem vykort som ett roligt avbrott från sitt arbete. Vi hade dessutom en målarvägg där hackarna kunde visa upp sina kreativa sidor och ägna en stund åt att uttrycka sig kreativt. Vi anser att en balanserad och behaglig miljö bidrar till samarbete och stimulerar nya idéer.

Vykort — En deltagare skriver vykort som ska skickas hem.

Under förra budgetåret delade Zoom ut 3,9 miljoner USD i belöning till hundratals forskare. Det innebär att det totala belopp som delats ut via vårt belöningsprogram för fel sedan starten nu överskrider 7 miljoner USD. Denna investering återspeglar vårt engagemang för att upprätthålla säkerheten och integriteten för våra kunder på allra högsta nivå.

Förutom att utveckla vårt belöningsprogram för fel kontinuerligt, så fungerar evenemang som H1-4420 som en påminnelse om vikten av samarbete och de gemensamma ansträngningar som krävs för att ligga steget före i cybersäkerhetslandskapet. Genom att arbeta sida vid sida med etiska hackare runtom i världen kan vi rikta in oss på sårbarheter på ett proaktivt sätt och därigenom skapa en säkrare miljö för våra kunder.

Ta reda på mer om våra insatser för etisk hackning och vår policy för avslöjande av sårbarheter genom att besöka vår sida om belöningsprogrammet för fel.

Redaktörens anmärkning: Detta blogginlägg redigerades den 31 juli 2023 för att inkludera den senaste informationen om vårt belöningsprogram för fel.