Hace ya tres años que Zoom se sumó a la lista de empresas que busca la ayuda de los investigadores de seguridad para la detección de fallos en sus productos y mejorar así la seguridad de sus productos. Creó su Bug Bounty Program en 2019 y ya lleva repartidos siete millones de dólares, de los que 3,9 millones corresponden a 2022.
Explica Zoom a través de un post que ha reclutado a más de 800 investigadores de seguridad a través de la plataforma HackerOne. Solo en 2021, Zoom otorgó más de 1,8 millones de dólares por 401 informes.
Ahora, la compañía trabaja en la implementación de un nuevo sistema de calificación de impacto de vulnerabilidad que utilizará junto con el Sistema Común de Puntuación de Vulnerabilidad (CVSS). El nuevo Vulnerability Impact Scoring System (VISS) clasificará los informes de vulnerabilidad en función de 13 aspectos diferentes por su posible impacto en la infraestructura y la tecnología de Zoom, así como en la seguridad de los datos del cliente.
Los programas privados de recompensas por vulnerabilidades como el de Zoom solo están accesibles por invitación e incluyen una lista de criterios de elegibilidad que los investigadores deben cumplir para participar en el programa Zoom Bug Bounty. Por ejemplo, no se permite que los investigadores hayan sido empleados por Zoom en los últimos 12 meses. La vulnerabilidad debe ser original y descubierta por la persona que presenta el informe. No se otorgará ninguna recompensa por los errores que se están solucionando actualmente, y alguna condición más.
