Policy för avslöjande av sårbarheter

Zooms säkerhetsteam är engagerade i att skydda våra användare och deras data. Vi tror att den oberoende säkerhetsforskningsgemenskapen är en viktig bidragsgivare till säkerheten på internet och välkomnar rapporter om potentiella säkerhetsproblem.

Denna policy ger riktlinjer för säkerhetsforskare att utföra etisk forskning och samordna avslöjande av säkerhetsbrister till Zoom.

Vi har utvecklat denna policy för att spegla våra värderingar och upprätthålla vår känsla av ansvar gentemot säkerhetsforskare som delar sin expertis med oss. Vi uppmuntrar säkerhetsforskare att rapportera potentiella säkerhetsbrister som de har upptäckt så att vi kan åtgärda dem och skydda våra användare.

Det här programmet finns på HackerOne och är endast avsett för koordinerat avslöjande av potentiella säkerhetsbrister i programvaran.

Programregler

  • Meddela oss så snart du upptäcker en potentiell säkerhetsrisk. Försök inte bevisa din sårbarhet på egen hand.
  • Använd eller få tillgång till konton och information som tillhör dig.
  • Förstör eller ändra inte data som inte är dina.
  • Försämra inte prestandan för Zooms produkter och tjänster eller våra användare.
  • Utför inte social ingenjörskonst, fysisk eller överbelastningsattack på Zooms personal, platser eller tillgångar.
  • Följ HackerOnes riktlinjer för avslöjande, denna policy för avslöjande av sårbarheter och alla tillämpliga lagar.

Omfattning

Denna policy gäller för Zooms produkter, tjänster och system. Var alltid noga med att verifiera vems tillgångar du testar när du gör research.

Rapportera Keybase-problem till deras dedikerade belöningsprogram för fel på HackerOne.

Sårbarheter som hittas i leverantörssystem faller utanför denna policys räckvidd och bör rapporteras direkt till leverantören via deras egna avslöjningsprogram.

Om du inte är säker på om ett system är i omfattning eller behöver hjälp med att rapportera ett fynd till en leverantör kan du kontakta oss på bugbounty@zoom.us. Vi hjälper gärna till!

Säker hamn

Alla aktiviteter som utförs på ett sätt som överensstämmer med denna policy kommer att betraktas som auktoriserat beteende och vi kommer inte att inleda rättsliga åtgärder mot dig. Om rättsliga åtgärder initieras av en tredje part mot dig i samband med aktiviteter som utförs under denna policy, kommer vi att vidta åtgärder för att göra det känt att dina åtgärder utfördes i enlighet med denna policy.

Sårbarheter utanför omfattningen

  • Attacker som kräver MITM eller fysisk åtkomst till en användares enhet.
  • Tidigare kända sårbara bibliotek utan fungerande proof of concept.
  • Clickjacking på sidor utan känsliga åtgärder.
  • Cross-Site Request Forgery (CSRF) på oautentiserade formulär eller formulär utan känsliga åtgärder.
  • Comma Separated Values (CSV)-injektion utan att visa en sårbarhet.
  • Det saknas bästa praxis i SSL/TLS-konfiguration.
  • Alla aktiviteter som kan leda till avbrott i vår tjänst (DoS).
  • Problem med innehållsförfalskning och textinjektion utan att visa en attackvektor/utan att kunna ändra HTML/CSS.
  • Hastighetsbegränsande eller bruteforce-problem på icke-autentiseringsändpunkter.
  • Det saknas bästa praxis i innehållssäkerhetspolicyn.
  • Saknar HttpOnly eller säkra flaggor på cookies.
  • Bästa metoder för e-post saknas (ogiltiga, ofullständiga eller saknade SPF/DKIM/DMARC-poster, etc.).
  • Sårbarheter som endast påverkar användare av föråldrade eller oparpade webbläsare (mindre än två stabila versioner bakom den senast släppta stabila versionen).
  • Upplysningar om programversion/problem med banneridentifiering/beskrivande felmeddelanden eller rubriker (t.ex. stackspårning, applikations- eller serverfel).
  • Offentliga nolldagssårbarheter som har haft en officiell patch i mindre än 1 månad kommer att tilldelas från fall till fall.
  • Tabnabbing.
  • Öppen omdirigering — om inte en ytterligare säkerhetspåverkan kan påvisas.

Hur du rapporterar en sårbarhet

Vi accepterar rapporter om potentiella säkerhetssårbarheter via vårt offentliga formulär för upplysningar om sårbarheter här.

Vi kommer att bekräfta mottagandet av din rapport inom en arbetsdag.

Vad vi skulle vilja se från dig

En bra sårbarhetsrapport bör göra följande för att hjälpa oss triage och åtgärda potentiella upptäckter:

  • Beskriva sårbarheten, exakt var den upptäcktes och den verkliga effekten.
  • Erbjuda en detaljerad beskrivning av stegen som behövs för att reproducera sårbarheten (POC, skärmdumpar och videor är användbara).
  • Inkludera en sårbarhet per rapport (om inte i en attackkedja).
  • Rapportera inte resultat från automatiska skanner utan bevis på utnyttjande.

Vad du kan förvänta dig av oss

När du väljer att dela din kontaktinformation med oss förbinder vi oss att samarbeta med dig så öppet och så snabbt som möjligt.

  • Vi kommer att bekräfta att din rapport har mottagits inom en arbetsdag.
  • Efter bästa förmåga kommer vi att bekräfta förekomsten av sårbarheten för dig och vara så transparenta som möjligt om åtgärdsprocessen, inklusive om problem eller utmaningar som kan försena lösningen.
  • Vi kommer att ha en öppen dialog för att diskutera frågor.

Behörighet

Zooms belöningsprogram för fel uppmuntrar kvalificerade personer att skicka in sårbarhetsrapporter som beskriver identifiering och utnyttjande av buggar i vissa produkter och tjänster som "omfattas". Under vissa omständigheter kan Zoom bevilja monetära belöningar/premier till säkerhetsresearchern som skickade in rapporten. Även om vi uppskattar varje rapport som tas emot, kan endast de researchers som uppfyller följande kriterier vara berättigade att ta emot prisutbetalningar:

  • Du måste vara den första researcher som lämnar en rapport om en specifik sårbarhet.
  • Du måste ha identifierat sårbarheten personligen, eller när du arbetar som en del av ett team av researchers som alla kvalificerar sig för att delta i Zooms belöningsprogram för fel.
  • Du får inte vara anställd av Zoom, dess dotterbolag eller relaterade enheter, för närvarande eller inom de senaste 12 månaderna.
  • Du måste följa denna policy när du upptäcker sårbarheter och när du skickar en sårbarhetsrapport.
  • Det får inte finnas någon anledning till att Zoom skulle vara lagligt förbjudet att ge dig en belöning.

Andra villkor

Ditt deltagande i Zooms belöningsprogram för fel skapar inte någon form av anställningsförhållande eller partnerskap mellan dig och Zoom. Du får inte representera dig själv som en Zoom-medarbetare eller någon som på något sätt är ansluten till Zoom. Du måste följa alla tillämpliga lagar i samband med ditt deltagande i detta program. Du är ansvarig för alla tillämpliga skatter i samband med eventuell belöning/premie du får. Sårbarhetsrapporter som tagits emot före lanseringen av detta program är inte berättigade till belöningar och kan inte skickas in igen för belöning. Du får inte använda några Zoom-logotyper, varumärken eller servicemärken utan skriftligt tillstånd från Zoom. Zoom förbehåller sig rätten att ändra denna policy när som helst och utan föregående meddelande genom att publicera en uppdaterad version av detta dokument. Zoom förbehåller sig rätten att avsluta detta program när som helst och utan föregående meddelande.

Immateriella rättigheter

Att delta i Zooms belöningsprogram för fel ger inte dig, eller någon annan tredje part, några rättigheter till Zooms immateriella rättigheter, produkter eller tjänster. Alla rättigheter som inte på annat sätt beviljas inom denna policy är uttryckligen reserverade av Zoom. Oavsett om en belöning delas ut för en rapportinlämning, tilldelar du härmed Zoom alla rättigheter, titel och intressen, inklusive alla immateriella rättigheter, för alla inlämnade sårbarhetsrapporter. Du intygar vidare att du har rätt att överlåta alla sådana rättigheter, titlar och intressen till Zoom för inlämningarna, och att ditt deltagande i Zooms belöningsprogram för fel inte bryter mot något avtal du kan ha med någon annan tredje part, som t.ex. din arbetsgivare.