취약성 공개 정책

Zoom 보안팀은 사용자와 사용자의 데이터 보호를 위해 최선을 다하고 있습니다. Zoom은 독립적 보안 연구 커뮤니티가 인터넷 보안에 있어서 핵심적인 기여자라고 믿고 있으며, 잠재적 보안 문제에 대한 신고를 환영합니다.

이 정책은 보안 연구자가 윤리적 연구를 수행하고 Zoom의 보안 취약성 공개를 조정하는 업무에 지침을 제공합니다.

전문 지식을 Zoom과 공유하는 보안 연구자에게 Zoom의 가치를 반영하고 연구자에 대한 Zoom의 책임을 인정하기 위해 이 정책을 수립했습니다. Zoom은 보안 연구자가 잠재적 보안 취약성을 발견한 경우 신고를 장려하며, 이를 통해 해당 문제를 수정하고 사용자의 안전을 지킬 수 있습니다.

이 프로그램은 HackerOne에서 호스팅되며 오로지 잠재적 소프트웨어 보안 취약성 공개만을 목적으로 합니다.

프로그램 규칙

  • 잠재적 보안 취약성을 발견하실 경우 즉시 알려주세요. 스스로 취약성을 증명하려 시도하지 마십시오.
  • 귀하에게 속한 계정 및 정보만 사용 또는 액세스하세요.
  • 귀하의 소유가 아닌 데이터를 파괴하거나 수정하지 마세요.
  • Zoom 제품 및 서비스 또는 Zoom 사용자의 성능을 저하시키지 마세요.
  • Zoom 직원, Zoom이 위치한 장소 또는 Zoom 자산에 대한 사회공학적, 물리적 공격 또는 서비스 거부 공격을 하지 마세요.
  • HackerOne의 공개 지침, 본 취약성 공개 정책 및 모든 해당 법률을 준수하세요.

범위

이 정책은 Zoom의 제품, 서비스 및 시스템에 적용됩니다. 연구 진행 중에는 언제나 테스트 대상 자산이 누구의 것인지 주의하여 확인하세요.

Keybase 문제는 HackerOne의 전용 버그 바운티 프로그램에 신고해 주세요.

벤더 시스템에서 발견한 취약성은 본 정책의 범위에 포함되지 않으며, 벤더의 자체 공개 프로그램을 통해 벤더에게 직접 신고해야 합니다.

특정 시스템이 범위에 포함되는지 확신할 수 없거나 벤더에게 신고하기 위해 도움이 필요할 경우 security@zoom.us로 문의해 주세요. 기꺼이 도와드리겠습니다!

세이프 하버

본 정책에 부합하는 방식으로 수행한 모든 활동은 적법한 행위로 간주되며 Zoom은 귀하를 대상으로 법적 조치를 취하지 않을 것입니다. 본 정책에 의거한 활동과 관련하여 제3자가 귀하를 대상으로 법적 조치를 취할 경우, 당사는 귀하의 행위가 본 정책을 준수했다는 사실을 알리기 위한 조치를 취할 것입니다.

범위에 포함되지 않는 취약성

  • MITM 또는 사용자 기기에 대한 물리적 액세스가 필요한 공격
  • 개념 증명 작업 없이, 이미 알려진 취약성 라이브러리
  • 민감한 작업을 수반하지 않는 페이지의 클릭잭킹.
  • 인증되지 않은 양식 또는 민감한 작업을 수반하지 않는 양식에 대한 CSRF(Cross-Site Request Forgery).
  • 취약성을 유발하지 않는 CSV(Comma Separated Values) 삽입.
  • SSL/TLS 구성에서 모범 사례 누락.
  • 서비스 중단(DoS)으로 이어질 수 있는 모든 활동.
  • 공격 매개체가 표시되지 않거나 HTML/CSS 수정이 불가능한 콘텐츠 스푸핑 및 텍스트 삽입 문제.
  • 인증되지 않은 엔드포인트에서의 속도 제한 또는 무차별 대입 공격 문제.
  • 콘텐츠 보안 정책에 모범 사례 누락.
  • 쿠키에 HttpOnly 또는 보안 플래그 누락.
  • 이메일 모범 사례 누락(유효하지 않거나, 불완전한 또는 누락된 SPF/DKIM/DMARC 기록 등).
  • 오래되거나 패치되지 않은 브라우저를 사용하는 사용자에게만 영향을 미치는 취약점(가장 최근에 릴리스된 안정화 버전보다 최소 두 단계 이전의 안정화 버전).
  • 소프트웨어 버전 공개/배너 식별 문제/설명 오류 메시지 또는 헤더(예: 스택 추적, 애플리케이션 또는 서버 오류).
  • 1개월 이내에 공식 패치를 릴리스한 퍼블릭 제로 데이 취약점은 사례별로 포상을 제공합니다.
  • 탭내빙.
  • 오픈 리디렉션 — 추가적인 보안 영향을 입증할 수 없는 경우.

취약점 신고 방법

당사는 HackerOne에서 잠재적 보안 취약점과 관련한 신고를 접수받고 커뮤니케이션을 진행합니다.

당사는 영업일 1일 내에 귀하의 신고 접수를 확인할 것입니다.

당사가 귀하께 기대하는 것

잠재적 발견 사항의 분류 및 수정을 돕는 좋은 취약성 보고서는 다음과 같습니다.

  • 취약성을 발견한 곳과 실생활에의 영향을 정확하게 설명해야 합니다.
  • 취약성 재현을 위해서 필요한 단계를 상세하게 설명해야 합니다(POC, 스크린샷, 비디오는 도움이 됩니다).
  • 보고서당 하나의 취약성만 신고해 주세요(공격 체인인 경우 예외).
  • 악용 가능성의 증거가 없는 자동화된 스캐너 결과는 신고하지 마세요.

귀하가 당사에 기대하는 것

귀하의 연락처를 공유하기로 선택하신 경우 당사는 최대한 신속하고 공개적인 방식으로 귀하와 협력하기 위해 최선을 다할 것입니다.

  • 영업일 1일 내에 귀하의 신고 접수를 확인할 것입니다.
  • 취약성 존재 여부를 최대한 귀하께 확인해 드리며, 수정 프로세스도 가능한 한 투명하게 진행할 것입니다. 수정 프로세스에는 해결을 지연시킬 수 있는 문제나 어려움도 포함됩니다.
  • 문제를 논의하기 위해서 열린 대화를 지속합니다.

적격성

Zoom 버그 바운티 프로그램은 자격을 갖춘 개인이 특정한 "범위 내" 제품 및 서비스에 존재하는 버그의 식별 및 악용의 세부 사항을 설명하는 취약성 보고서 제출을 장려합니다. Zoom은 신고를 제출한 보안 연구자에게 특정한 상황에서 금전적 보상/바운티를 제공할 수도 있습니다. 제출하신 모든 보고서에 대해 감사드립니다. 그러나, 다음 기준을 충족한 연구자만이 바운티 지급 대상이 됩니다.

  • 반드시 특정 취약성과 관련한 신고를 최초로 제출한 연구자여야 합니다.
  • 취약성 식별은 개인적으로, 또는 모든 구성원이 Zoom 버그 바운티 프로그램에 참석할 자격이 있는 연구자 팀의 일원으로 일하는 중에 이루어져야 합니다.
  • 현재 또는 지난 12개월 이내에 Zoom, Zoom의 자회사 또는 관련 법인에 고용된 사실이 없어야 합니다.
  • 취약성을 발견하고 취약성 보고서를 제출할 때 본 정책을 반드시 준수해야 합니다.
  • Zoom이 귀하께 바운티를 지불하는 것을 금지하는 법적 사유가 없어야 합니다.

기타 약관

Zoom 버그 바운티 프로그램에 참여한다 하더라도 귀하와 Zoom 사이에 고용 관계 또는 파트너십이 형성되지 않습니다. 귀하 본인을 Zoom 직원 또는 어떤 방식으로든 Zoom과 관계가 있는 자로 표현할 수 없습니다. 본 프로그램 참여와 관련된 모든 관련 법률을 반드시 준수해야 합니다. 수령하는 모든 보상/바운티 금액과 관련한 모든 제반 세금 지불 의무는 귀하께 있습니다. 본 프로그램 시작 전에 접수된 취약성 보고서는 보상 대상이 아니며, 보상을 위해 다시 제출할 수 없습니다. Zoom의 서면 승인 없이 Zoom 로고, 상표 또는 서비스 마크를 사용해서는 안 됩니다. Zoom은 본 문서의 업데이트된 버전을 게시함으로써 사전 통지 없이 언제든지 본 정책을 수정할 권한을 보유하고 있습니다. Zoom은 사전 통지 없이 언제든지 본 프로그램을 종료할 권한을 보유하고 있습니다.

지적재산권

Zoom 버그 바운티 프로그램에 참여한다 하더라도 귀하 또는 기타 제3자에게 Zoom의 지적 재산권, 제품 또는 서비스에 대한 어떠한 권한도 부여되지 않습니다. 본 정책에서 부여하지 않은 모든 권리는 Zoom이 명시적으로 보유합니다. 신고 제출에 따른 바운티 보상의 지불 여부와 상관없이, 귀하는 제출한 모든 취약성 보고서와 관련된 모든 권리, 소유권 및 모든 지적 재산권을 포함한 이권을 Zoom에 양도합니다. 귀하는 제출물에 대한 모든 권리, 소유권 및 이권을 Zoom에 양도할 권리가 있으며, Zoom 버그 바운티 프로그램에 대한 귀하의 참여가 귀하의 고용주와 같은 기타 제3자와의 계약을 위반하지 않음을 진술합니다.