Zoom para renovar el programa de recompensas de errores, traer más expertos en seguridad


Enfocar

Imagen: Zoom, ZDNet

Consejos de zoom de techrepublic

La aplicación de teleconferencia Zoom anunció hoy planes para renovar su programa de recompensas de errores como parte de su approach a largo plazo para mejorar la seguridad de su servicio.

La compañía ha contratado a Luta Safety, una compañía especializada en la gestión de divulgación sostenible de vulnerabilidad y programas de recompensas de errores.

Luta Safety está dirigida por la veterana de seguridad cibernética Katie Moussouris. El fundador de Luta Safety es mejor conocido por configurar programas de recompensas de errores para Microsoft, Symantec y el Pentágono.

Ambas empresas Enfocar y Luta Protection – hizo el anuncio hoy temprano.

Zoom utilizado anteriormente para ejecutar un programa de recompensas de errores en la plataforma HackerOne.

Luta Safety tiene una mano libre para reconstruir el programa existente de Zoom. Moussouris dijo que ahora está recibiendo aportes de toda la comunidad de ciberseguridad sobre formas de mejorar el proceso de divulgación de vulnerabilidad de Zoom.

«Cualquier cosa, desde el NDA hasta el pago del formulario de envío a la experiencia de trabajar con proveedores de selección de recompensas de errores que administran las recompensas de errores privadas de Zoom, tiene mucho alcance», dijo Moussouris.

Otras contrataciones de renombre a seguir

Zoom contrató a Moussouris, una figura conocida y respetada en la industria de la seguridad cibernética, una semana después de que contrató al ex CSO de Facebook Alex Stamos como consultor de seguridad.

En un tweet de hoy, Moussouris insinuó que más nombres de alto perfil se unirán a Zoom en los próximos días. La lista incluye a la experta en privacidad Lea Kissner (ex líder world de tecnología de privacidad en Google), el criptógrafo y profesor de Johns Hopkins Matthew Environmentally friendly, y tres firmas de auditoría de seguridad conocidas: BishopFox, el Grupo NCC y Trail of Bits.

Nuevas características de seguridad que se lanzarán más adelante esta semana

Las nuevas contrataciones son parte de los esfuerzos de Zoom para mejorar la postura de seguridad del servicio.

Debido a la pandemia de coronavirus (COVID-19), la aplicación creció de 10 millones de usuarios en diciembre a más de 200 millones de usuarios en la actualidad. Debido a su repentino aumento de popularidad, la aplicación fue objeto de escrutinio por parte de investigadores de ciberseguridad, expertos en privacidad y piratas informáticos.

Expertos encontrados fallas de seguridad en el código de la aplicación, problemas de privacidad con la administración de datos del usuario, problemas con el esquema de cifrado personalizado de la aplicación y acusaciones de enviar datos a servidores chinos donde la inteligencia china podría secuestrarlos.

Ante una creciente ola de críticas que amenazaba con arruinar su creciente reputación, el CEO de Zoom, Eric Yuan anunciado el 1 de abril planea detener el desarrollo de todas las nuevas funciones de la aplicación y centrarse únicamente en la seguridad.

En las últimas dos semanas, Zoom ha reparado todas las fallas de seguridad conocidas, ha implementado funciones para asegurar las reuniones de Zoom contra la práctica conocida como bombardeo de Zoom y ha contratado expertos para diseñar una estrategia de seguridad cibernética a largo plazo.

Durante su semanal Seminario world wide web «Pregúntale a Eric cualquier cosa» anoche, el CEO de Zoom resumió los esfuerzos pasados ​​de la compañía y también dio una idea de las futuras características de seguridad de Zoom (ver imagen a continuación)

Zoom de estado de seguridad "src =" https://zdnet4.cbsistatic.com/hub/i/2020/04/16/b1876250-d0e5-4f02-adb5-a40a5550d5b3/past-week.png

Imagen: Zoom

Según Yuan, los planes futuros incluyen agregar una opción para permitir que los usuarios controlen los centros de datos de Zoom donde se almacenarán sus datos y agregar una opción para informar a los usuarios abusivos.

La primera característica ayudará a calmar los temores de que los chats de Zoom y las claves de cifrado puedan enviarse a los servidores chinos. El segundo ayudará a Zoom a cerrar cuentas involucradas en bombardeos de Zoom.

Además, Alex Stamos, hablando en el mismo seminario net, anunció planes para moverse de Zoom genuine esquema de cifrado de llamadas de aplicación de mala calidad a una solución más probada y confiable.

Más específicamente, Stamos dijo que Zoom se alejará del cifrado true de 256-AES ECB a un cifrado GCM 256-AES más seguro, pero agregó que «el enfoque a largo plazo implicará un diseño criptográfico totalmente nuevo que decrease en gran medida el riesgo para Zoom sistema.»





Enlace a la noticia first