Zoom làm mới chương trình trao thưởng phát hiện lỗi bảo mật

Zoom đã thuê Luta Security, một công ty chuyên quản lý các chương trình công bố lỗ hổng và các chương trình trao thưởng cho những phát hiện lỗi.

Luta Security do chuyên gia an ninh mạng kỳ cựu Katie Moussouris, người nổi tiếng với việc thiết lập các chương trình trao thưởng cho những phát hiện lỗi của Microsoft, Symantec và Lầu năm góc, phụ trách.

Trước đây, Zoom đã thực hiện chương trình trao thưởng cho những phát hiện lỗi trên nền tảng HackerOne. Giờ đây, Luta Security có thể chủ động xây dựng lại chương trình này của Zoom. Katie Moussouris cho biết cô hiện đang lấy ý kiến từ toàn bộ cộng đồng an ninh mạng về các cách để cải thiện quy trình tiết lộ lỗ hổng của Zoom.

Tiếp tục tuyển dụng các chuyên gia an ninh mạng có tên tuổi 

Zoom đã tuyểnchuyên gia an ninh mạng Katie Moussouris, một nhân vật nổi tiếng trong ngành an ninh mạng, một tuần sau khi tuyển cựu Giámđốc phụ trách an ninh mạng của Facebook làAlex Stamos làm cố vấn bảo mật.

Trong một đăngtải mới nhất trên Twitter, vịchuyên gia này cho biết nhiều tên tuổi nữa sẽ tham gia Zoom trong những ngày tới. Danh sách này bao gồm chuyên gia về quyền riêng tư Lea Kissner (cựu Giám đốc công nghệriêng tư toàn cầu của Google), nhà mật mã học và giáo sư John Green Hopkins, Matthew Green và ba công ty kiểm thử bảo mật nổi tiếng làBishopFox, NCC Group và Trail of Bits.

Những tính năng bảo mật mới được triển khai cuối tuần này

Việc tuyểndụng nhân tài mới là một phần trong nỗ lực của Zoom nhằm nâng cao tínhnăng bảo mật của dịch vụ.

Do đại dịch Covid-19, việc sử dụng Zoom tăng đột biến từ 10 triệu người dùng trong tháng 12/2019 lên hơn 200 triệu người dùng hiện nay. Sau đó, các chuyên gia đã phát hiện lỗ hổng bảo mật trong mã của ứng dụng, các vấn đề về quyền riêng tư cùng với quản lý dữ liệu người dùng, sơ đồ mã hóa tùy chỉnh của ứng dụng và cả việc gửi dữ liệu tới bị chiếm quyền điều khiển.

Đối mặt với làn sóng chỉ trích đang đe dọa hủy hoại danh tiếng của Zoom, CEO Eric Yuan đã tuyên bố vào ngày 1/4 về kế hoạch ngừng phát triển trên tất cả các tính năng ứng dụng mới và chỉ tập trung vào bảo mật.

Trong hai tuần qua, Zoom đã vá tất cả các lỗi bảo mật đã đượcbiếtđến, đồng thời triển khai các tính năng để bảo mật các cuộc họp Zoom chống lại cáccuộc Zoom-bombing. Mặt khác, công ty cũng đã thuê các chuyên gia để phát triển mộtchiến lược an ninh mạng dài hạn.

Trong hội thảo trực tuyến hàng tuần "Hỏi Eric bất cứ điều gì" vừadiễn ra, CEOcủa Zoom đã tóm tắt những nỗ lực trướcđây của công ty và giới thiệu sơ bộ về các tính năng bảo mật Zoom trong tương lai.

Theo Yuan, các kế hoạch trong tương lai bao gồm bổ sung tùy chọn để cho phép người dùng kiểm soát các trung tâm dữ liệu Zoom nơi dữ liệu của họ sẽ được lưu trữ và báo cáo những người dùng lạm dụng.

Tính năng đầu tiên sẽ giúp làm dịu lo ngại rằng các cuộc trò chuyện Zoom và khóa mã hóa có thể được gửi đến các máy chủ Trung Quốc. Tính năng thứ hai sẽ giúp Zoom khoá các tài khoản tham gia "ném bom" Zoom.

Phát biểu tại hội thảo trựctuyến, Alex Stamos cũng đã công bố kế hoạch chuyển từ chương trình mã hóa cuộc gọi kém chất lượng hiện tại của Zoom sang một giải pháp đáng tin cậy và được thử nghiệm rộng rãi hơn. Cụ thể hơn, Zoom sẽ chuyển từ mã hóa 256-AES ECB hiện tại sang mã hóa 256-AES GCM an toàn hơn, nhưng "trọng tâm dài hạn sẽ liên quan đến một thiết kế mật mã hoàn toàn mới giúp giảm đáng kể rủi ro cho hệ thống của Zoom".