A gigante da videoconferência Zoom anunciou esta semana que desembolsou mais de US$ 10 milhões por meio de seu programa de recompensas por bugs desde que foi lançado em 2019. Somente no ano passado, a empresa diz ter concedido cerca de US$ 2,4 milhões para mais de mil relatórios de vulnerabilidade enviados por mais de 200 pesquisadores de segurança. O total pago no ano passado é superior aos US$ 1,8 milhão concedidos em 2021, mas significativamente inferior aos US$ 3,9 milhões pagos em 2022.
A Zoom publicou avisos de segurança para 58 vulnerabilidades com identificadores CVE de 2023, incluindo três falhas de gravidade crítica e aproximadamente duas dúzias de falhas de alta gravidade. A empresa revelou recentemente um sistema de pontuação de impacto de vulnerabilidade (VISS) de código aberto que tem usado em seu programa de recompensas de bugs.
A Zoom descreve o VISS como uma estrutura personalizável que pode ajudar as organizações a avaliar e priorizar vulnerabilidades com base na exploração real demonstrada, em vez do impacto teórico. O VISS destina-se a complementar o sistema de pontuação comum de vulnerabilidades (CVSS) amplamente utilizado.
Veja isso
RATs se espalham por meio apps falsos do Skype, Zoom e Meet
Bugs no Zoom afetam lives no Linux, Windows, iOS e Android
O sistema tem sido usado no programa de recompensas de bugs da Zoom há mais de um ano e no momento de seu lançamento oficial a empresa disse que seu uso levou a um aumento nos relatórios descrevendo vulnerabilidades críticas e de alta gravidade, com os pesquisadores investindo mais tempo e energia para demonstrar a praticidade de suas façanhas.
Para acessar os boletins de segurança da Zoom (em inglês), nos quais fornece orientação sobre os impactos das vulnerabilidades, clique aqui.