Kebijakan Pengungkapan Kerentanan

Tim Keamanan Zoom berkomitmen untuk melindungi pengguna dan data mereka. Kami percaya komunitas riset keamanan independen adalah kontributor utama keamanan internet dan terbuka atas laporan potensi masalah keamanan.

Kebijakan ini memberikan pedoman bagi peneliti keamanan untuk melakukan penelitian etis dan mengoordinasikan pengungkapan kerentanan keamanan terhadap Zoom.

Kami telah mengembangkan kebijakan ini untuk mencerminkan nilai-nilai kami dan menjunjung tinggi rasa tanggung jawab kami kepada peneliti keamanan yang berbagi keahlian mereka bersama kami. Kami mendorong peneliti keamanan untuk melaporkan potensi kerentanan keamanan yang ditemukan, sehingga kami dapat memperbaikinya dan menjaga keamanan pengguna kami.

Program ini dihost pada HackerOne dan hanya untuk pengungkapan terkoordinasi dari potensi kerentanan keamanan perangkat lunak.

Aturan Program

  • Anda harus segera memberi tahu setelah menemukan potensi kerentanan keamanan. Jangan mencoba membuktikan kerentanan oleh Anda sendiri.
  • Hanya gunakan atau akses akun dan informasi milik Anda.
  • Jangan merusak atau memodifikasi data yang bukan milik Anda.
  • Jangan menurunkan kinerja produk dan layanan Zoom atau pengguna kami.
  • Jangan melakukan rekayasa sosial, fisik, atau penolakan serangan layanan terhadap personel, lokasi, atau aset Zoom.
  • Ikuti panduan pengungkapan HackerOne, Kebijakan Pengungkapan Kerentanan, dan semua hukum yang berlaku.

Ruang Lingkup

Kebijakan ini berlaku untuk produk, layanan, dan sistem Zoom. Selalu berhati-hati untuk memverifikasi yang asetnya Anda uji saat melakukan penelitian.

Silakan laporkan masalah Keybase ke program bug bounty khusus mereka di HackerOne.

Kerentanan yang ditemukan dalam sistem vendor berada di luar cakupan kebijakan ini dan harus dilaporkan langsung ke vendor melalui program pengungkapan mereka sendiri.

Jika Anda tidak yakin apakah sistem dalam cakupan atau memerlukan bantuan untuk melaporkan temuan ke vendor, hubungi kami di security@zoom.us. Kami dengan senang hati membantu!

Safe Harbor

Setiap aktivitas yang dilakukan dengan cara yang konsisten dengan kebijakan ini akan dianggap sebagai perilaku yang sah, dan kami tidak akan memulai tindakan hukum terhadap Anda. Jika pihak ketiga memulai tindakan hukum terhadap Anda sehubungan dengan aktivitas yang dilakukan berdasarkan kebijakan ini, kami akan mengambil langkah-langkah untuk memberitahukan bahwa tindakan yang Anda lakukan sudah mematuhi kebijakan ini.

Kerentanan Di Luar Cakupan

  • Serangan yang membutuhkan MITM atau akses fisik ke perangkat pengguna.
  • Perpustakaan rentan yang diketahui sebelumnya tanpa bukti konsep kerja.
  • Clickjacking pada halaman tanpa tindakan sensitif.
  • Cross-SiteRequestForgery (CSRF) pada formulir atau formulir yang tidak diautentikasi tanpa tindakan sensitif.
  • Injeksi Comma Separated Values (CSV) tanpa menunjukkan kerentanan.
  • Tidak ada praktik terbaik dalam konfigurasi SSL/TLS.
  • Aktivitas apa pun yang dapat menyebabkan gangguan layanan kami (DoS).
  • Spoofing konten dan masalah injeksi teks tanpa menampilkan vektor serangan/tanpa dapat memodifikasi HTML/CSS.
  • Masalah pembatasan laju atau bruteforce pada titik akhir non-autentikasi.
  • Tidak ada praktik terbaik dalam Kebijakan Keamanan Konten.
  • Tidak ada HttpOnly atau bendera aman pada cookie.
  • Tidak ada praktik terbaik email (catatan SPF/DKIM/DMARC tidak valid, tidak lengkap, atau hilang, dll.).
  • Kerentanan hanya memengaruhi pengguna browser lawas atau belum di-patch (kurang dari dua versi stabil sebelum rilis versi stabil terbaru).
  • Pengungkapan versi perangkat lunak/masalah identifikasi spanduk/pesan kesalahan deskriptif atau header (misalnya, jejak tumpukan, kesalahan aplikasi atau server).
  • Kerentanan nol-hari publik yang telah memiliki patch resmi selama kurang dari 1 bulan akan diberikan berdasarkan kasus per kasus.
  • Tabnabbing.
  • Pengalihan terbuka — kecuali dampak keamanan tambahan dapat ditunjukkan.

Cara Melaporkan Kerentanan

Kami menerima dan berkomunikasi tentang potensi laporan kerentanan keamanan di HackerOne.

Kami akan mengakui penerimaan laporan Anda dalam satu hari kerja.

Apa yang kami harapkan dari laporan Anda

Untuk membantu kami melakukan triase dan memulihkan temuan potensial, laporan kerentanan yang baik harus:

  • Menjabarkan kerentanan, tepatnya di mana kerentanan ditemukan, dan dampaknya terhadap dunia nyata.
  • Tawarkan deskripsi terperinci tentang langkah-langkah yang diperlukan untuk mereproduksi kerentanan (POC, tangkapan layar, dan video sangat membantu).
  • Harap sertakan satu kerentanan per laporan (kecuali dalam rantai serangan).
  • Jangan melaporkan hasil pemindai otomatis tanpa bukti eksploitasi.

Apa yang dapat Anda harapkan dari kami

Ketika Anda memilih untuk membagikan informasi kontak Anda, kami berkomitmen untuk berkoordinasi dengan Anda secara terbuka dan sesegera mungkin.

  • Kami akan mengakui bahwa laporan Anda telah diterima dalam satu hari kerja.
  • Dengan kemampuan terbaik, kami akan mengonfirmasi keberadaan kerentanan kepada Anda dan memproses remediasi secara transparan, termasuk pada masalah atau tantangan yang dapat menunda pemecahan masalah.
  • Kami akan mengadakan dialog terbuka untuk membahas masalah.

Kelayakan

Program Bug Bounty Zoom mendorong individu yang memenuhi syarat untuk mengirimkan laporan kerentanan yang merinci identifikasi dan eksploitasi bug dalam produk dan layanan "dalam ruang lingkup" tertentu. Dalam keadaan tertentu, Zoom dapat memberikan imbalan/hadiah uang kepada peneliti keamanan yang mengirimkan laporan tersebut. Meskipun kami menghargai setiap laporan yang diterima, tetapi hanya para peneliti dengan kriteria berikut yang dapat memenuhi syarat untuk menerima pembayaran hadiah:

  • Anda harus menjadi peneliti pertama yang mengirimkan laporan mengenai kerentanan tertentu.
  • Anda harus sudah mengidentifikasi kerentanan secara pribadi, atau saat bekerja s ebagai bagian dari tim peneliti yang semuanya memenuhi syarat untuk berpartisipasi dalam program Bug Bounty Zoom.
  • Anda tidak dipekerjakan oleh Zoom, anak perusahaannya atau entitas terkait, pada saat ini atau dalam 12 bulan terakhir.
  • Anda harus mematuhi kebijakan ini saat menemukan kerentanan dan saat mengirimkan laporan kerentanan.
  • Tidak ada larangan secara hukum bagi Zoom untuk memberikan Anda hadiah.

Syarat dan Ketentuan Lainnya

Partisipasi Anda dalam program Bug Bounty Zoom tidak menciptakan hubungan kerja atau kemitraan apa pun antara Anda dan Zoom. Anda tidak mewakili diri Anda sebagai karyawan Zoom atau seseorang yang berafiliasi dengan Zoom. Anda harus mematuhi semua undang-undang yang berlaku sehubungan dengan partisipasi Anda dalam program ini. Anda bertanggung jawab atas pajak yang berlaku terkait dengan penghargaan/hadiah yang Anda terima. Laporan kerentanan yang diterima sebelum peluncuran program ini tidak memenuhi syarat untuk mendapatkan hadiah dan tidak dapat dikirimkan kembali untuk mendapatkan hadiah. Anda tidak boleh menggunakan logo, merek dagang, atau merek layanan Zoom apa pun tanpa izin tertulis dari Zoom. Zoom berhak untuk mengubah kebijakan ini kapan saja, dan tanpa pemberitahuan sebelumnya, dengan memposting versi dokumen yang telah diperbarui. Zoom berhak untuk menghentikan program ini kapan saja dan tanpa pemberitahuan sebelumnya.

Kekayaan Intelektual

Partisipasi atas program Zoom Bug Bounty tidak memberikan Anda, atau pihak ketiga lainnya, hak apa pun atas kekayaan intelektual, produk, atau layanan Zoom. Semua hak yang tidak diberikan dalam kebijakan ini secara tegas dilindungi oleh Zoom. Terlepas dari apakah hadiah diberikan atas pengiriman laporan, Anda dengan ini menetapkan semua hak, kepemilikan, dan kepentingan kepada Zoom, termasuk semua hak kekayaan intelektual, untuk semua laporan kerentanan yang dikirimkan. Anda selanjutnya menyatakan bahwa Anda memiliki hak untuk menetapkan semua hak, judul, dan kepentingan tersebut kepada Zoom untuk pengiriman, dan bahwa partisipasi Anda dalam program Bug Bounty Zoom tidak melanggar perjanjian apa pun yang mungkin Anda miliki dengan pihak ketiga lainnya, seperti perusahaan Anda.