腾讯会议专项安全众测正式启动,百万现金池,喊你挖洞! – 作者:Doraemon

受疫情影响,远程办公软件在全球范围内需求激增,同时也面临着巨大的安全风险和挑战。

4月8日,腾讯方面宣布,腾讯安全应急响应中心(TSRC)将联合云鼎实验室、腾讯会议共同启动「百万赏金共战“疫”」腾讯会议专项众测活动。即日起至4月30日,腾讯将发起“漏洞悬赏”,特设百万现金奖金池,邀请全国范围内的安全专家、白帽研究员、开发者及安全爱好者,对腾讯会议特定产品及域名范围进行安全众测,单个漏洞额外奖励最高可达20万元。

据了解,这是腾讯首个百万奖金池的安全众测项目。疫情之下,腾讯希望通过安全众测,及早预防未知产品风险,号召白帽战士用代码的力量合力“战疫”。

图片1.png

快速迭代,助力云上办公

疫情期间,腾讯会议支持了海量国内外企业远程办公、教育机构远程授课、培训等需求。据悉,此次为助力全球各地“战疫”,腾讯会议已在全球超过100个国家和地区上线,面向用户免费开放300人的会议协同能力直至疫情结束,并将为联合国成立75周年活动提供全程支持。

数据显示,腾讯会议推出两个月内,日活跃账户数即超过1000万,已经成为当前中国最多人使用的视频会议应用。为了满足用户日益增长的云上办公需求,腾讯会议也不断对重点功能和服务升级,100天内更新迭代了20个版本。

为保障腾讯会议的稳定运行,腾讯安全旗下云鼎实验室、玄武实验室联合腾讯安全平台部,早在产品上线前就对腾讯会议进行了全面的安全检查和加固,并在产品上线后持续进行安全防护。

百万赏金,守护用户安全

在进一步加码内部安全投入的同时,腾讯安全平台部TSRC团队也联合腾讯云鼎实验室、腾讯会议发起高达百万赏金的“腾讯会议安全专项众测”,号召专业力量参与,前置发现、预防未知安全风险。这也是TSRC平台自2012年成立以来,首次设立奖金池高达百万的众测项目。

本次众测面向的产品范围包括腾讯会议客户端(包含macOS、Windows、iOS、Android、微信小程序)和腾讯会议服务端,域名范围包括.wemeet.qq.com、.meeting.tencent.com、.meeting.qq.com、.voovmeeting.com等。参与者可通过腾讯安全应急响应中心(TSRC)提交漏洞,先到先得。

即日起至4月30日18时,无论是严重漏洞,还是高危漏洞,只要符合相关条件,单个漏洞额外奖励最高可达20万元。

奖励机制及条件

1.所有有效漏洞将根据TSRC现有规则,获取漏洞积分及安全币;

2.针对本次“腾讯会议安全专项”,TSRC特设百万现金奖金池。符合活动范围内的每个严重/高危漏洞,TSRC将奖励税后最高20万元现金,规则如下:

规则.png

3.必须提供有效复现EXP,具体漏洞评级奖励将以CVSS及TSRC漏洞评分标准实施。

漏洞评级及奖励标准

详情参考

持续深耕,共建安全生态

腾讯TSRC是国内首家由企业自建的安全应急响应平台,致力于腾讯漏洞的收集与攻击应急处置。TSRC倡导漏洞发现者直接向企业方提交,鼓励技术极客成为安全生态的共建者。八年时间里,大量白帽子与腾讯携手,共同捍卫了全球亿万用户安全。

近年来,TSRC也持续加大对白帽子奖励力度,包括申请更多回馈奖励、举办白帽子交流沙龙等,聚拢专业力量,共建网络安全生态。

来源:freebuf.com 2020-04-09 08:30:45 by: Doraemon

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论