漏洞披露政策

Zoom 安全团队致力于保护我们的用户及其数据。 我们认为独立安全研究社区对于互联网安全至关重要,并且欢迎报告潜在的安全问题。

本政策为安全研究人员提供对 Zoom 进行道德研究并协调安全漏洞披露的指导准则。

我们制定本政策是为了反映我们的价值观,也是为了坚守对与我们分享专业知识的安全研究人员的责任感。 我们鼓励安全研究人员报告他们发现的潜在安全漏洞,以便我们修复漏洞并保障用户安全。

本计划委托 HackerOne 实施,仅用于协调潜在软件安全漏洞的披露。

计划规则

  • 如果发现潜在安全漏洞,请立即通知我们。 请勿尝试自行验证漏洞。
  • 仅使用或访问属于您的账户和信息。
  • 请勿损坏或修改不属于您的数据。
  • 请勿降低 Zoom 产品和服务的性能或用户产品和服务的性能。
  • 请勿对 Zoom 人员、地点或资产执行社会工程、物理或拒绝服务攻击。
  • 遵守 HackerOne 的披露准则、本漏洞披露政策及所有适用法律。

范围

本政策适用于 Zoom 的产品、服务和系统。 进行研究时,请务必仔细确认您测试的资产属于何人。

请将 Keybase 问题报告至 HackerOne 上专门的漏洞报告奖励计划。

如果在供应商系统中发现的漏洞超出本政策的范围,应直接通过供应商的披露计划向供应商报告。

如果您不确定某系统是否在范围内,或向供应商报告发现内容时需要帮助,请通过 security@zoom.us 与我们联系。 我们很乐意提供帮助!

安全港

以符合本政策的方式进行的任何活动均将被视为授权行为,我们不会对您提起法律诉讼。 如果第三方以根据本政策进行的活动为由,对您提起法律诉讼,我们将采取措施证明您进行的活动符合本政策。

超出范围的漏洞

  • 需要 MITM 或物理访问用户设备进行的攻击。
  • 之前已知但未进行有效概念验证的漏洞库。
  • 无敏感行为的页面点击劫持。
  • 对未经验证的表单或无敏感行为的表单进行跨站请求伪造 (CSRF)。
  • 不显示漏洞的情况下注入逗号分隔值 (CSV)。
  • 缺少 SSL/TLS 配置中的最佳实践。
  • 可能导致服务中断 (DoS) 的任何活动。
  • 不显示攻击向量/无法修改 HTML/CSS 的内容欺骗和文本注入问题。
  • 非认证端点上的速率限制或暴力破解问题。
  • 缺少内容安全政策中的最佳实践。
  • Cookie 上缺少 HttpOnly 或安全标识。
  • 缺少电子邮件最佳实践(SPF/DKIM/DMARC 记录等内容无效、不完整或缺失)。
  • 仅影响使用过时或未修补浏览器(比最新发布稳定版本低两个稳定版本以内)的用户的漏洞。
  • 软件版本披露/横幅标识问题/描述性错误消息或标题(例如堆栈踪迹、应用程序或服务器错误)。
  • 在 1 个月内发布公开零日漏洞的官方补丁将视情况获得奖励。
  • 标签劫持。
  • 开放重定向 — 除非能证明具有其他安全影响。

如何报告漏洞

我们通过 HackerOne 接受并交流潜在安全漏洞报告。

我们将在一个工作日内确认收到您的报告。

我们对您的期望

为帮助我们鉴别潜在发现并予以修复,一份优秀的漏洞报告应该:

  • 描述漏洞、发现漏洞的准确位置以及现实影响。
  • 详细描述重现漏洞所需的步骤(POC、屏幕截图和视频会很有帮助)。
  • 请在每份报告中包括一个漏洞(除非属于一个攻击链)。
  • 缺乏恶意利用的证据时,请勿报告自动扫描器的结果。

您可以对我们抱有的期望

当您选择与我们共享联系信息时,我们承诺将尽可能公开、迅速地与您协调。

  • 我们将在一个工作日内确认已收到您的报告。
  • 我们会尽最大努力确认您报告的漏洞确实存在,并尽量保证修复流程的公开透明,包括在可能导致解决延迟的问题或挑战方面。
  • 我们将坚持通过开放式对话讨论问题。

资格

Zoom 漏洞报告奖励计划鼓励有资质的个人提交漏洞报告,并在其中详述特定“范围内”产品和服务中漏洞的识别和恶意利用。 在某些情况下,Zoom 可能对提交报告的安全研究人员授予金钱奖励/奖金。 我们重视收到的每一份报告,但只有满足以下条件的研究人员有资格获得奖金:

  • 您必须是提交关于特定漏洞的报告的第一位研究人员。
  • 您必须亲自指出漏洞,或隶属于一个研究人员团队,其中所有人员均有资格参与 Zoom 漏洞报告奖励计划。
  • 目前或近 12 个月内,您不能受雇于 Zoom、其附属公司或关联实体。
  • 在发现漏洞和提交漏洞报告时,您必须遵守本政策。
  • 不得存在法律上禁止 Zoom 向您授予奖励的原因。

其他条款和条件

您参与 Zoom 漏洞报告奖励计划不会在您与 Zoom 之间建立任何形式的雇用关系或合作关系。 您不能自称为 Zoom 员工或与 Zoom 有任何关联的人员。 您必须遵守与您参与此计划相关的所有适用法律。 对于您获得的任何奖金/奖励,任何相关的适用税费均由您自行承担。 在此计划启动前收到的漏洞报告不具有奖励资格,并且不能重新提交以获得奖励。 未经 Zoom 书面授权,您不能使用任何 Zoom 徽标、商标或服务标志。 Zoom 保留通过发布本文档的更新版本随时修改本政策的权利,恕不提前通知。 Zoom 保留随时终止此计划的权利,恕不提前通知。

知识产权

参与 Zoom 漏洞报告奖励计划不会向您或任何其他第三方授予 Zoom 知识产权、产品或服务的任何权利。 本政策中未授予的所有权利均由 Zoom 明确保留。 无论报告提交是否获得奖励,您特此将所有已提交漏洞报告的所有权利、所有权和利益(包括所有知识产权)转让给 Zoom。 您进一步声明,您有权将所提交漏洞报告的所有此类权利、所有权和利益转让给 Zoom,并且您参与 Zoom 漏洞报告奖励计划不违反您与任何其他第三方(例如您的雇主)签订的任何协议。