Chính sách thông báo lỗ hổng

Đội ngũ Bảo mật của Zoom cam kết bảo vệ người dùng và các dữ liệu liên quan. Chúng tôi tin rằng cộng đồng nghiên cứu bảo mật độc lập là những người có đóng góp quan trọng cho tính bảo mật trên internet và sẵn lòng tiếp nhận báo cáo về những vấn đề bảo mật tiềm ẩn.

Chính sách này đưa ra hướng dẫn để hỗ trợ các nhà nghiên cứu bảo mật tiến hành các cuộc nghiên cứu có đạo đức và phối hợp trong công tác báo cáo lỗ hổng bảo mật tới Zoom.

Chúng tôi phát triển chính sách này nhằm thể hiện các giá trị và duy trì tinh thần trách nhiệm của chúng tôi đối với những nhà nghiên cứu bảo mật có cùng lĩnh vực chuyên môn. Chúng tôi khuyến khích các nhà nghiên cứu bảo mật báo cáo về những lỗ hổng bảo mật tiềm ẩn, để từ đó chúng tôi có thể tiến hành khắc phục và đảm bảo an toàn cho người dùng.

Chương trình này được thực hiện trên nền tảng HackerOne và chỉ phục vụ cho mục đích điều phối hoạt động thông báo lỗ hổng bảo mật phần mềm tiềm ẩn.

Quy định của chương trình

  • Kịp thời thông báo khi bạn phát hiện thấy có lỗ hổng bảo mật tiềm ẩn. Vui lòng không cố gắng tự chứng minh lỗ hổng của bạn.
  • Chỉ sử dụng hoặc truy cập vào tài khoản và thông tin thuộc sử hữu của bạn.
  • Không hủy hoặc sửa đổi dữ liệu không phải của bạn.
  • Không làm suy giảm hiệu suất các sản phẩm và dịch vụ của Zoom hoặc hiệu quả làm việc của người dùng.
  • Không thực hiện các hành vi tấn công phi kỹ thuật, tấn công vật lý hoặc từ chối dịch vụ đối với nhân viên, trụ sở hoặc tài sản của Zoom.
  • Tuân thủ hướng dẫn về thông báo của HackerOne, Chính sách thông báo lỗ hổng bảo mật này cũng như mọi luật pháp hiện hành.

Phạm vi

Chính sách này được áp dụng cho các sản phẩm, dịch vụ và hệ thống của Zoom. Luôn cẩn trọng xác minh chủ sở hữu các tài sản bạn đang kiểm thử trong quá trình nghiên cứu.

Vui lòng báo cáo các vấn đề của Keybase tới chương trình săn lỗi chuyên dụng của ứng dụng này trên nền tảng HackerOne.

Các lỗ hổng bảo mật được phát hiện trong hệ thống của nhà cung cấp không thuộc phạm vi của chính sách này và phải được báo cáo trực tiếp cho nhà cung cấp thông qua chương trình thông báo riêng của họ.

Nếu bạn không chắc liệu một hệ thống có thuộc phạm vi của chương trình hoặc cần hỗ trợ trong việc báo cáo về phát hiện của mình tới nhà cung cấp, liên hệ với chúng tôi qua security@zoom.us. Chúng tôi luôn sẵn lòng giúp đỡ!

Bến cảng an toàn

Mọi hoạt động của bạn nếu được thực hiện tuân theo chính sách này sẽ được coi là hành vi hợp pháp và chúng tôi sẽ không khởi tố bạn. Nếu có bên thứ ba khởi tố liên quan đến hoạt động bạn đã thực hiện theo chính sách này, chúng tôi sẽ tiến hành các biện pháp nhằm thông báo rằng đó là hoạt động tuân thủ với chính sách này.

Lỗ hổng bảo mật ngoài phạm vi

  • Các cuộc tấn công yêu cầu hình thức truy cập xen giữa (MITM) hoặc truy cập trực tiếp tới thiết bị của người dùng.
  • Các thư viện dễ bị tấn công đã biết trước đây nhưng không có bằng chứng khái niệm chính đáng.
  • Người dùng bị lừa nhấp chuột (clickjacking) trên các trang mà không thực hiện các thao tác nhạy cảm.
  • Tấn công giả mạo yêu cầu (CSRF) đối với biểu mẫu chưa xác thực hoặc biểu mẫu không có thao tác nhạy cảm.
  • Chèn các Giá trị phân tách bằng dấu phẩy (CSV) mà không cấu thành lỗ hổng bảo mật.
  • Không sử dụng các biện pháp khuyến nghị trong cấu hình SSL/TLS.
  • Mọi hoạt động có thể dẫn đến gián đoạn dịch vụ (DoS) của chúng tôi.
  • Các vấn đề về giả mạo nội dung và chèn văn bản mà không hiển thị vectơ tấn công hoặc không có khả năng sửa đổi HTML/CSS.
  • Các vấn đề về giới hạn tốc độ hoặc tấn công duyệt thô trên các điểm cuối không xác thực.
  • Không sử dụng các biện pháp khuyến nghị trong Chính sách bảo mật nội dung.
  • Thiếu cờ HttpOnly và cờ bảo mật trên cookie.
  • Thiếu biện pháp thực hiện với email tốt nhất (không hợp lệ, không đầy đủ hoặc thiếu bản ghi SPF/DKIM/DMARC, v.v.).
  • Lỗ hổng bảo mật chỉ ảnh hưởng đến người dùng của các trình duyệt đã lỗi thời hoặc chưa được vá lỗi (dưới hai phiên bản ổn định sau phiên bản ổn định được phát hành mới nhất).
  • Tiết lộ phiên bản phần mềm / các vấn đề nhận dạng biểu ngữ / thông báo hoặc tiêu đề mô tả lỗi (ví dụ: truy vết ngăn xếp, lỗi ứng dụng hoặc máy chủ).
  • Các lỗ hổng bảo mật zero-day công cộng mà đã có bản vá chính thức dưới 1 tháng sẽ được trao thưởng tùy từng trường hợp.
  • Giả mạo tab trình duyệt (Tabnabbing).
  • Chuyển hướng mở — trừ khi có tác động bảo mật bổ sung.

Cách báo cáo lỗ hổng bảo mật

Chúng tôi tiếp nhận và thông báo về báo cáo lỗ hổng bảo mật tiềm ẩn trên nền tảng HackerOne.

Chúng tôi sẽ xác nhận báo cáo của bạn trong vòng một ngày làm việc.

Điều chúng tôi mong muốn ở bạn

Nhằm giúp chúng tôi phân loại và khắc phục các kết quả phát hiện tiềm ẩn nguy cơ, một báo cáo lỗ hổng bảo mật chính xác cần:

  • Mô tả lỗ hổng bảo mật chính xác về vị trí phát hiện và tác động trong đời sống thực.
  • Cung cấp mô tả chi tiết về các bước cần thiết để tái tạo lỗ hổng bảo mật (Bằng chứng khái niệm, ảnh chụp màn hình và video đều hữu ích).
  • Vui lòng trình bày một lỗ hổng bảo mật cho mỗi báo cáo (trừ khi bạn thông báo về chuỗi tấn công).
  • Không báo cáo kết quả quét tự động mà không có bằng chứng về khả năng lợi dụng lỗ hổng.

Điều bạn có thể mong đợi ở chúng tôi

Khi bạn chia sẻ thông tin liên hệ của mình với chúng tôi, chúng tôi cam kết sẽ phối hợp với bạn một cách cởi mở và nhanh chóng nhất có thể.

  • Chúng tôi sẽ xác nhận đã tiếp nhận báo cáo của bạn trong vòng một ngày làm việc.
  • Chúng tôi sẽ cố gắng hết sức để xác nhận xem lỗ hổng bảo mật của bạn có tồn tại không và đảm bảo minh bạch nhất có thể về quá trình khắc phục, bao gồm cả các vấn đề hoặc thách thức có thể làm chậm quá trình giải quyết.
  • Chúng tôi sẽ duy trì đối thoại cởi mở để thảo luận về các vấn đề.

Điều kiện

Chương trình săn lỗi của Zoom khuyến khích các cá nhân đủ điều kiện gửi báo cáo lỗ hổng bảo mật, trong đó nêu chi tiết việc xác định và lợi dụng lỗi ở một số sản phẩm và dịch vụ nhất định “thuộc phạm vi”. Trong một số trường hợp, Zoom có ​​thể cấp một khoản tiền thưởng cho nhà nghiên cứu bảo mật đã gửi báo cáo. Mặc dù mọi báo cáo gửi đến chúng tôi đều được trân trọng nhưng chỉ những nhà nghiên cứu đáp ứng các tiêu chí sau mới đủ điều kiện nhận tiền thưởng:

  • Bạn phải là nhà nghiên cứu đầu tiên gửi báo cáo về một lỗ hổng nhất định.
  • Bạn phải hoàn thành bước xác định lỗ hổng bảo mật một mình hoặc với tư cách là thành viên của một nhóm các nhà nghiên cứu có đủ điều kiện để tham gia chương trình săn lỗi của Zoom.
  • Hiện tại hoặc trong vòng 12 tháng qua, bạn không làm việc trực tiếp tại Zoom hoặc các công ty con của Zoom cũng như các tổ chức liên quan.
  • Bạn phải tuân thủ chính sách này khi phát hiện và gửi báo cáo lỗ hổng bảo mật.
  • Theo pháp luật, Zoom không bị cấm trao tiền thưởng cho bạn vì bất cứ lí do gì.

Các điều khoản và điều kiện khác

Việc tham gia vào chương trình săn lỗi của Zoom không tạo ra bất kỳ loại quan hệ việc làm hay quan hệ đối tác nào giữa bạn và Zoom. Bạn không được đại diện với tư cách là nhân viên của Zoom hoặc người có liên kết với Zoom theo bất kỳ cách nào. Bạn phải tuân thủ mọi luật pháp hiện hành liên quan đến việc tham gia chương trình này. Bạn chịu trách nhiệm đóng mọi loại thuế hiện hành liên quan đến mọi phần thưởng hoặc tiền thưởng bạn nhận được. Các báo cáo về lỗ hổng bảo mật nhận được trước khi ra mắt chương trình này không đủ điều kiện nhận thưởng và không được gửi lại để nhận thưởng. Bạn không được sử dụng bất kỳ logo, ​​thương hiệu hoặc nhãn hiệu dịch vụ nào của Zoom mà không được Zoom cấp phép bằng văn bản. Zoom có ​​quyền sửa đổi chính sách này bất kỳ lúc nào bằng cách công bố phiên bản cập nhật của chính sách này mà không cần thông báo trước. Zoom có ​​quyền chấm dứt chương trình này bất cứ lúc nào mà không cần thông báo trước.

Sở hữu trí tuệ

Việc tham gia vào Chương trình săn lỗi của Zoom không cấp cho bạn hoặc bên thứ ba nào quyền sở hữu trí tuệ, sản phẩm hoặc dịch vụ của Zoom. Zoom bảo lưu mọi quyền khác chưa được cấp trong chính sách này. Dù bạn có được trao tiền thưởng vì đã gửi báo cáo hay không thì tại đây, bạn cấp tất cả các quyền, quyền sở hữu và lợi tức cho Zoom, bao gồm mọi quyền sở hữu trí tuệ, đối với mọi báo cáo về lỗ hổng bảo mật đã gửi. Ngoài ra, bạn cũng tuyên bố rằng bạn có quyền cấp tất cả các quyền, quyền sở hữu và lợi ích đó cho Zoom khi gửi báo cáo và việc bạn tham gia vào chương trình săn lỗi của Zoom không vi phạm bất kỳ thỏa thuận nào bạn có thể có với bên thứ ba khác, chẳng hạn như chủ lao động.