漏洞揭露政策

Zoom 的安全團隊致力於保護我們的使用者和他們的資料。 我們堅信獨立的安全研究社群是保護網路安全的關鍵貢獻者,因此我們歡迎您檢舉潛在的安全問題。

本政策為安全研究人員提供指導準則,以進行 Zoom 的道德研究並協調揭露安全漏洞。

我們制定此政策以對安全研究人員展示我們的價值及責任感,這些安全研究人員與我們分享專業知識。 我們鼓勵安全研究人員回報他們所發現的潛在安全漏洞,讓我們可以修正問題,保障我們使用者的安全。

本計畫主機架設於 HackerOne,專為協調揭露潛在軟體安全漏洞。

計畫規則

  • 一旦發現到潛在的安全漏洞,請盡快通知我們。 請勿嘗試自行證明漏洞。
  • 僅使用或存取屬於您的帳戶和資訊。
  • 不銷毀或修改不屬於您的資料。
  • 不降低 Zoom 產品和服務的效能層級或我們使用者的產品和服務的效能層級。
  • 不對 Zoom 人員、地點或資產執行社交工程、實體或阻斷服務攻擊。
  • 遵守 HackerOne 的揭露指南、本漏洞揭露政策和所有適用法律。

範圍

本政策適用於 Zoom 的產品、服務和系統。 執行研究時,對於您在測試的資產,始終以謹慎態度確認資產所有人。

請將 Keybase 問題向其在 HackerOne 上專屬的錯誤賞金計畫回報。

從供應商系統中找到的漏洞不屬於本政策的範圍,應透過他們自己的揭露計畫直接向他們回報。

如不確定系統是否屬於涵蓋範圍內,或需要我們協助向供應商回報,請以下列方式聯絡我們:security@zoom.us。 我們很樂意提供協助!

安全港條款

任何以遵照本政策的方式所進行的活動都被視為已授權行為,我們將不會對您採取法律行動。 如果有第三方對您按照本政策所執行的活動採取法律行動,我們將採取措施來說明您的行動符合本政策。

涵蓋範圍外的漏洞

  • 需要 MITM 或實際進入使用者裝置的攻擊。
  • 之前所知的漏洞庫,無可作用的概念驗證。
  • 無敏感性行動的網頁點擊劫持。
  • 未授權表單或無敏感性行動的表單上的跨站請求偽造 (CSRF)。
  • 未顯現漏洞的逗號分隔值 (CSV) 注入。
  • 遺失 SSL/TLS 配置中的最佳做法。
  • 任何可能導致服務中斷 (DoS) 的活動。
  • 內容盜用以及內文注入式攻擊問題,無顯示攻擊向量,或無法修改 HTML/CSS。
  • 在非驗證端點上的速率限制或暴力破解問題。
  • 遺失內容安全政策中的最佳做法。
  • Cookie 上遺失 HttpOnly 或安全標誌。
  • 遺失電子郵件最佳做法 (無效、非完整或遺失 SPF/DKIM/DMARC 記錄等)。
  • 漏洞僅影響已過時或未打補丁瀏覽器 (低於最新發佈穩定版本的前兩個穩定版本) 的使用者。
  • 軟體版本揭露/橫幅識別問題/描述性錯誤消息或標題 (例如:堆疊追蹤、應用程式或伺服器錯誤)。
  • 正式補丁少於 1 個月的公共零日漏洞將依照個別案例來判定。
  • 標籤綁架。
  • 開放式重定向 - 除非顯示出有其他的安全影響。

如何舉報漏洞

我們在 HackerOne 上接受及討論潛在安全漏洞舉報。

我們會在一個工作天內確認收到您的回報。

我們對您提出的要求

為協助我們為潛在問題分類並進行矯正,良好的漏洞報告應:

  • 準確地說明在何處發現漏洞,以及對現實生活的影響。
  • 為重製漏洞提供詳細的步驟說明 (POC、螢幕擷取畫面和視訊皆有助益)。
  • 每一個舉報只涵蓋一個漏洞 (除非是攻擊鏈)。
  • 不要舉報沒有入侵性驗證的自動掃描結果。

我們對您回應的部分

當您選擇與我們分享您的聯絡資料時,我們承諾將會盡可能開放且快速地與您協調問題。

  • 我們會在一個工作天內向您確認收到您的回報。
  • 我們將盡力向您確認漏洞存在狀況,並讓矯正過程盡可能地透明,包括在解決時可能會導致延遲的問題或挑戰方面。
  • 我們將保持開放式對話來討論問題。

資格

Zoom 錯誤賞金計畫鼓勵符合資格的個人,對於「涵蓋範圍內」產品和服務錯誤的詳細識別和入侵性提交漏洞報告。 在某些情況下,Zoom 會對提交報告的安全研究人員給予獎賞/賞金。 雖然我們對收到的每一個報告都表示感激,但只有符合下列標準的研究人員才有資格獲取賞金:

  • 您必須是第一個對於特定漏洞提交報告的人。
  • 您必須能親自識別漏洞,或屬於一個研究人員團隊,且團隊內所有人員都符合參加 Zoom 錯誤賞金計畫的資格。
  • 您目前或過去 12 個月內必須不是受雇於 Zoom、其子公司或相關實體機構。
  • 當您發現漏洞和提交漏洞報告時必須符合本政策。
  • 在法律上必須沒有任何理由禁止 Zoom 給予您賞金。

其他條款與條件

參加 Zoom 錯誤賞金計畫不會因此讓您和 Zoom 之間產生任何形式的雇用或合夥關係。 您不得將自己代表為 Zoom 員工或以任何方式與 Zoom 有關係的身分。 您必須遵守所有與參加本計畫相關的適用法律。 對於與任何您所獲取的獎賞/賞金相關的任何適用稅金由您負責承擔。 在本計畫推出前所收到的漏洞報告將不符合獎賞資格,也無法重新提交報告來獲取獎賞。 未經 Zoom 書面授權,您不得使用 Zoom 的任何標誌、商標或服務標記。 Zoom 可發佈本文件更新版本,保留隨時修改本政策,且無需事前通知的權利。 Zoom 保留隨時終止本計畫且無需事前通知的權利。

智慧財產權

參加 Zoom 錯誤賞金計畫並不會給予您或任何其他第三方使用 Zoom 智慧財產權、產品或服務的任何權利。 Zoom 保留所有未在本政策中明確表示授予的其他權利。 針對您所提交的漏洞報告,不論您是否有從報告中獲得獎賞,您在此都將其所有的權利、所有權和利益讓渡給 Zoom,其中包含智慧財產權。 您進一步聲明,您有權利將針對此報告的所有該種權利、所有權和利益讓渡給 Zoom,且您參加 Zoom 錯誤賞金計畫也不違反任何您與其他第三方 (例如您的雇主) 間的協議。