Beleid betreffende de bekendmaking van kwetsbaarheden

Het beveiligingsteam van Zoom zet zich in om onze gebruikers en hun gegevens te beschermen. Wij zijn van mening dat de onafhankelijke gemeenschap van onderzoekers naar beveiliging een belangrijke bijdrage levert aan de beveiliging van het internet en daarom ontvangen we graag meldingen over potentiële beveiligingsproblemen.

Dit beleid biedt richtlijnen aan beveiligingsonderzoekers om ethisch onderzoek uit te voeren en op gecoördineerde wijze beveiligingskwetsbaarheden aan Zoom bekend te maken.

We hebben dit beleid ontwikkeld in navolging van onze waarden en willen beveiligingsonderzoekers, die hun expertise met ons delen, laten zien dat we onze verantwoordelijkheid nemen. We moedigen beveiligingsonderzoekers aan om potentiële beveiligingskwetsbaarheden die ze ontdekken te melden, zodat we deze kunnen oplossen en onze gebruikers veilig kunnen houden.

Dit programma wordt gehost op HackerOne en is alleen bedoeld voor gecoördineerde openbaarmaking van potentiële kwetsbaarheden in de softwarebeveiliging.

Programmavoorschriften

  • Informeer ons zodra u een potentiële kwetsbaarheid in de beveiliging opmerkt. Probeer de kwetsbaarheid niet zelf te bewijzen.
  • Gebruik of open alleen accounts en gegevens die aan u toebehoren.
  • Vernietig of wijzig geen gegevens die niet van u zijn.
  • Doe geen afbreuk aan de prestaties van Zoom-producten en -diensten en kleineer onze gebruikers niet.
  • Laat u niet in met social engineering, fysieke aanvallen of denial of service (DoS)-aanvallen op werknemers, locaties of middelen van Zoom.
  • Houd u aan de richtlijnen voor bekendmaking van HackerOne, dit beleid betreffende de bekendmaking van kwetsbaarheden en alle toepasselijke wetten.

Scope

Dit beleid is van toepassing op de producten, services en systemen van Zoom. Verifieer altijd zorgvuldig wiens middelen u test als u onderzoek verricht.

Meld Keybase-problemen via het bug bounty-programma op HackerOne, dat hier speciaal voor bedoeld is.

Kwetsbaarheden in leverancierssystemen vallen buiten de reikwijdte van dit beleid en moeten rechtstreeks aan de leverancier worden gemeld via hun eigen bekendmakingsprogramma's.

Als u niet zeker weet of een systeem binnen de reikwijdte valt of hulp nodig hebt om een bevinding aan een leverancier te melden, neem dan contact met ons op via security@zoom.us. Wij helpen u graag!

Safe Harbor

Alle activiteiten die conform dit beleid worden uitgevoerd, worden beschouwd als geautoriseerd gedrag, waarvoor we geen juridische stappen tegen u zullen ondernemen. Als een derde partij juridische stappen tegen u onderneemt in verband met activiteiten die conform dit beleid worden uitgevoerd, zullen wij duidelijk maken dat uw acties zijn uitgevoerd in overeenstemming met dit beleid.

Kwetsbaarheden die buiten de reikwijdte vallen

  • Aanvallen waarvoor MITM of fysieke toegang tot het apparaat van een gebruiker vereist is.
  • Voorheen bekende kwetsbare bibliotheken zonder functionerend Proof of Concept.
  • Clickjacking op pagina's zonder gevoelige acties.
  • Cross-Site Request Forgery (CSRF) op niet-geverifieerde formulieren of formulieren zonder gevoelige acties.
  • Comma Separated Values (CSV)-injectie zonder een kwetsbaarheid aan te tonen.
  • Ontbrekende aanbevolen procedures in SSL-/TLS-configuratie.
  • Elke activiteit die kan leiden tot een verstoring van onze service (DoS).
  • Problemen door het spoofen van inhoud en tekstinjectie zonder een aanvalsvector weer te geven of zonder HTML/CSS te kunnen wijzigen.
  • Snelheidsbeperkende of brute force-problemen op niet-authenticatie-eindpunten.
  • Ontbrekende aanbevolen procedures in het beleid voor beveiliging van de inhoud.
  • Ontbrekende HttpOnly of secure flags op cookies.
  • Ontbrekende aanbevolen procedures voor e-mail (ongeldige, onvolledige of ontbrekende SPF-/DKIM-/DMARC-records, enz.).
  • Kwetsbaarheden die alleen van invloed zijn op gebruikers van verouderde of niet-gepatchte browsers (loopt meer dan twee stabiele versies achter op de laatst uitgebrachte stabiele versie).
  • Bekendmaking van softwareversies/problemen met banneridentificatie/beschrijvende foutmeldingen of headers (zoals stack traces, toepassings- of serverfouten).
  • Openbare zero-day exploits die minder dan 1 maand geleden officieel zijn gepatcht worden van geval tot geval bekeken.
  • Tabnabbing.
  • Open redirect, behalve wanneer een extra impact op de beveiliging kan worden aangetoond.

Een beveiligingskwetsbaarheid melden

We accepteren en communiceren over meldingen van mogelijke beveiligingskwetsbaarheden op HackerOne.

Wij bevestigen de ontvangst van uw melding binnen één werkdag.

Wat wij graag van u willen ontvangen

Om ons te helpen potentiële bevindingen te sorteren en corrigeren, moet een goede kwetsbaarheidsmelding het volgende bevatten:

  • Een beschrijving van de kwetsbaarheid, waar het precies werd ontdekt en de werkelijke impact.
  • Een gedetailleerde beschrijving van de stappen die nodig zijn om de kwetsbaarheid te reproduceren (POC's, screenshots en video's zijn daarbij handig).
  • Vermeld één kwetsbaarheid per rapport (tenzij het om een aanvalsketen gaat).
  • Meld geen geautomatiseerde scannerresultaten zonder bewijs van exploiteerbaarheid.

Wat u van ons kunt verwachten

Wanneer u ervoor kiest om uw contactgegevens met ons te delen, verbinden wij ons ertoe om zo open en zo snel mogelijk met u samen te werken.

  • We bevestigen binnen één werkdag dat uw melding is ontvangen.
  • We zullen het bestaan van de kwetsbaarheid naar ons beste vermogen aan u bevestigen en zo transparant mogelijk zijn over het herstelproces, inclusief over problemen of uitdagingen die de oplossing kunnen vertragen.
  • We zullen de kwesties via een open dialoog bespreken.

Geschiktheid

Het bug bounty-programma van Zoom moedigt gekwalificeerde personen aan om kwetsbaarheidsmeldingen in te dienen, waarin de identificatie en exploitatie van bugs in bepaalde producten en diensten die binnen de reikwijdte van dit beleid vallen worden beschreven. In bepaalde omstandigheden kan Zoom geldelijke beloningen/premies toekennen aan de beveiligingsonderzoeker die de melding heeft ingediend. Hoewel we elke melding die we ontvangen waarderen, komen alleen onderzoekers die aan de volgende criteria voldoen in aanmerking voor premiebetalingen:

  • U moet de eerste onderzoeker zijn die een dergelijke kwetsbaarheid meldt.
  • U moet de kwetsbaarheid persoonlijk hebben geïdentificeerd, of in teamverband met andere onderzoekers die allemaal in aanmerking komen om deel te nemen aan het bug bounty-programma van Zoom.
  • U mag op dat moment of in de 12 maanden ervoor niet in dienst zijn (geweest) van Zoom, haar dochterondernemingen of gerelateerde entiteiten.
  • U moet dit beleid naleven als u kwetsbaarheden ontdekt en wanneer u een kwetsbaarheidsmelding indient.
  • Er mag geen wettelijke reden zijn die Zoom verbiedt om u een premie toe te kennen.

Overige algemene voorwaarden

Uw deelname aan het bug bounty-programma van Zoom bewerkstelligt geen enkele vorm van arbeidsrelatie of partnerschap tussen u en Zoom. U mag uzelf niet voordoen als een Zoom-medewerker of iemand die op enigerlei wijze is aangesloten bij Zoom. U moet voldoen aan alle toepasselijke wetten in verband met uw deelname aan dit programma. U bent zelf verantwoordelijk voor alle toepasselijke belastingen in verband met een beloning/premie die u ontvangt. Kwetsbaarheidsmeldingen die vóór de lancering van dit programma zijn ontvangen, komen niet in aanmerking voor beloningen en kunnen niet opnieuw worden ingediend voor een beloning. U mag geen logo's, handelsmerken of servicemerken van Zoom gebruiken zonder schriftelijke toestemming van Zoom. Zoom behoudt zich het recht voor om dit beleid op elk moment en zonder voorafgaande kennisgeving te wijzigen, door een bijgewerkte versie van dit document te posten. Zoom behoudt zich het recht voor om dit programma op elk moment en zonder voorafgaande kennisgeving te beëindigen.

Intellectueel eigendom

Deelname aan het bug bounty-programma van Zoom verleent u, of een andere derde partij, geen rechten op intellectuele eigendommen, producten of diensten van Zoom. Alle rechten die niet anderszins binnen dit beleid worden verleend, zijn uitdrukkelijk voorbehouden aan Zoom. Aangaande de ingediende kwetsbaarheidsmeldingen wijst u hierbij alle rechten, aanspraken en belangen, inclusief alle intellectuele eigendomsrechten, toe aan Zoom, ongeacht of er een premie is toegekend voor het indienen van een melding. U verklaart verder dat u voor wat betreft de meldingen het recht hebt om dergelijke rechten, aanspraken en belangen aan Zoom toe te wijzen en dat uw deelname aan het bug bounty-programma van Zoom geen overeenkomst schendt die u mogelijk met een andere derde partij hebt, zoals uw werkgever.