Bonificación de errores de recompensa de Zoom

Publicado el 12 abril 2023 por Ferranmunoz @ferran_munoz

Lanzado por Zoom hace unos años, un programa de recompensas por errores busca identificar mejor las vulnerabilidades presentes en sus herramientas. El especialista en comunicaciones unificadas presentó los resultados 2022 de su programa de confiabilidad.

Desde su lanzamiento, Zoom ha premiado 7 millones de dolares a cientos de «investigadores» como parte de su programa de recompensas por errores destinado a identificar vulnerabilidades relacionadas con el uso de sus soluciones. De esta cantidad, Se pagaron $3.9 millones en bonos en 2022. Un índice significativo detu volumen de pruebas realizadas.

El programa se llevó a cabo en asociación con la plataforma HackerOne. El reto era atraer a los mejores talentos. Zoom ha apostado notablemente por los eventos cs el Evento HackerOne H1-702, celebrado en septiembre de 2022 en Las Vegas. En esta ocasión, un centenar de profesionales de la seguridad de 29 países intentaron piratear (y en ocasiones lo consiguieron) el cliente web de Zoom y el cliente de escritorio, pero también las API, las aplicaciones de Zooms Marketplace y uno de los binarios distribuidos por Zoom. En esta ocasión se distribuyeron cerca de $500,000 en bonos.

rapearyo, yoLos «investigadores» o «hackers éticos» suelen comprometerse en este contexto a respetar una serie de reglas, como no llevar a cabo acciones que podrían afectar negativamente a la infraestructura de Zoom o a sus usuarios, por ejemplo a través de Ataques tipo DDoS. Este no es el objetivo deseado. El propósito de tales campañas es revelar debilidades en el código de las herramientas de Zoom o en las configuraciones expuestas a Internet. Los hackers de HackerOne no deberíanasegúrese de no divulgar ninguna información relacionada con su descubrimiento sin el permiso de Zoom. Las vulnerabilidades identificadas se clasifican según el estándar Sistema de puntuación de vulnerabilidad común (CVSS).

Zoom ha agregado un sistema de puntuación llamado Vulnerability Impact Scoring System (VISS) a su programa. Este analiza trece aspectos diferentes del impacto de cada vulnerabilidad reportada, relacionados con la infraestructura de Zoom, la tecnología y la seguridad de los datos del cliente, y se enfoca más en la mensurabilidad del impacto que en la posible explotación de estas fallas.

Lea también:

Yogosah, un año histórico para la generosidad de insectos en Francia

El sistema de evaluación de vulnerabilidades “CVSS”: ¿qué vulnerabilidades priorizar?

HackerOne enriquece su plataforma de seguridad

Hacking ético: cuatro conceptos erróneos sobre las plataformas de recompensas por errores

La futura aplicación francesa “StopCovid” prueba su robustez gracias a Bug Bounty

[Infographie] YesWeHack: fuerte crecimiento de la plataforma Bug Bounty

[