2018년 상반기 LINE Security Bug Bounty Program 결과

2018년 상반기 LINE Security Bug Bounty Program 결과

안녕하세요, LINE에서 보안 업무를 맡고 있는 이명재(MJ)라고 합니다.

2018년 상반기(1월 1일~6월 30일) 동안 진행된 LINE Security Bug Bounty 프로그램 결과를 여러분께 알려드리려고 합니다.
LINE Security Bug Bounty Program은 LINE이 제공하는 서비스에 잠재되어 있는 취약점에 대해 외부 보안 전문가들로부터 보고를 받고 문제점을 수정하여 더욱 안전한 서비스를 제공하는 데 목적이 있습니다.

접수상황

취약점 접수 상황은 다음과 같습니다.

일별/취약점별 접수상황

2018년 상반기(2018년 1월 1일부터 6월 30일까지)에는 총 148건이 접수되었습니다. 2017년 상반기 96건과 비교해 접수 건수가 약 64% 증가하였습니다. 아래 그래프는 일별(주별)접수 건수를 보여주고 있습니다.

일별(주별)접수 건수

아래 차트는 접수된 취약점의 종류와 비율을 보여주고 있습니다.

접수된 취약점의 종류와 비율

국가별 접수율

2018년 상반기에 접수된 148건을 국가별로 나누어보면 한국에서 6건, 일본에서 35건, 그 외 다른 국가에서 107건이 접수되었습니다. 아래 차트를 보시면 한국, 일본뿐 아니라 해외 다른 나라의 접수 비율도 높다는 것을 알 수 있습니다.

국가별 접수 비율

심사결과

이번 프로그램에서는 XSS, CSRF 등 총 33건이 취약점으로 인정되었습니다.
심사 결과는 Hall of fame 페이지에서 확인할 수 있으며 Hall of fame 갱신상황은 이 페이지에서 공지하고 있습니다.

2018년 상반기에 지급된 보상금은 총 48,000 달러(USD)입니다. 아래 차트는 국가별 보상금 지급 비율을 보여주고 있습니다.

국가별 보상금 지급 비율

심사 결과, 이용규약상 프로그램 대상 범위가 아니어서 정식으로 인정되진 않았지만 LINE에 유익한 정보로 판단된 것들은 별도로 분류하였고, 관련하여 2018년 상반기에 Special Contributors라는 이름으로 11명을 공개하였습니다.

현재까지 통계 및 보상금 지급 절차

현재까지 통계

2015년(프로그램 실시) 2016년(상시 운영 개시) 2017년(프로그램 대상 확대) 2018년(보상금 테이블 갱신)
실시 기간 8/24~9/23 6/2~12/31 1/1~12/31 1/1~6/30
접수 건수 194건
(일본:89, 한국 포함 타 국가:105)
97건
(일본:15, 한국 포함 타 국가:82)
212건
(일본:11, 한국 포함 타 국가:201)
148건
(일본:35, 한국 포함 타 국가:113)
보상금 대상의 취약점 수 14건 13건 45건 33건
hall of fame 8명 3명 11명 9명
special contributors 9명 8명 21명 11명
발생한 보상금 USD 44,000 USD 27,000 USD 76,500 USD 48,000

보상금 지급 절차

LINE Security Bug Bounty 프로그램에 보고한 내용이 취약점으로 인정되면 보고자는 보상금을 받게 됩니다. 보상금 지급 절차는 다음과 같습니다.

  1. 보고자가 취약점을 보고한다.
  2. LINE 담당자가 보고 내용을 조사한다.
  3. 보고된 내용이 취약점으로 인정되면, 접수자에게 보상금에 대해 안내를 제공한다.
  4. 보고자가 보상금 지급에 동의한다.
  5. 보고자가 보상금 지급에 필요한 정보를 제출한다.
  6. LINE 담당자가 제출한 정보와 서류 확인을 진행한다.
  7. LINE은 보상금을 지급한다.

절차에 대한 상세한 내용은 프로그램 FAQ Q12 항목을 참고하시기 바랍니다.
2018년 상반기에는 취약점보고부터 보상금안내까지(1번부터 3번까지) 평균 약 10일이 걸렸으며, 보상금안내부터 지급까지(3번부터 7번까지)는 평균 약 41일이 걸렸습니다.
(2017년도에는 보상금 안내부터 지급까지(3번부터 7번까지)평균 약 52일이 걸렸습니다)

보상금 참고금액 테이블 변경

지난 2018년 3월 19일(일본어)에는 프로그램 개선의 일환으로, 보상금 참고 금액 테이블을 업데이트하였습니다.
이번 업데이트에서는 보상금 참고 금액 테이블에 아래 항목들을 새로 추가하였습니다. 자세한 사항은 이용 규약 페이지를 참고해주시기 바랍니다.

  • Improper Certificate Validation
  • Server-Side Request Forgery (SSRF)
  • Client-Side Enforcement of Server-Side Security
  • Improper Access Control
  • Password in Configuration File
  • Insecure Direct Object Reference (IDOR)
  • Information Exposure Through Debug Information
  • Privilege Escalation
  • Cleartext Transmission of Sensitive Information
  • Path Traversal

보상금 참고금액 테이블

Vulnerability Description example
SQL Injection Ability to access private information through an SQL injection attack USD 3,000
Cross-Site Scripting (XSS) Ability to hijack a session or execute scripts through an XSS attack USD 500~
Cross-Site Request Forgery (CSRF) Ability to force a LINE user to perform an undesired process through a CSRF attack USD 500
Remote Code Execution Ability to send packets containing arbitrary code to the client or server side USD 10,000
Authentication Bypass Ability to masquerade as another person by bypassing authentication procedures USD 5,000
Purchase Bypass Ability to obtain items while bypassing in-app payment procedures USD 5,000
Encryption Break Ability to obtain another person’s authentication information by cracking encrypted data USD 10,000
Improper Certificate Validation Ability to obtain sensitive information by failing to validate SSL certificate. USD 10,000
Server-Side Request Forgery (SSRF) Ability to abuse functionality on the server to read or update internal resources. USD 2,500
Client-Side Enforcement of Server-Side Security Ability to bypass protection mechanism by relying on the client side protection only. USD 500
Improper Access Control Ability to access originally non-public pages because of access control failure. USD 500~
Password in Configuration File Ability to obtain a password or sensitive information in a configuration file. USD 500
Insecure Direct Object Reference (IDOR) Ability to bypass authorization and access resources directly by modifying the value of a parameter. USD 5,000
Information Exposure Through Debug Information Ability to obtain sensitive information through debugging information. USD 500
Privilege Escalation Ability to obtain elevated access to resources that are normally protected from an application or user. USD 3,000
Cleartext Transmission of Sensitive Information Ability to eavesdrop sensitive information in the network traffic. USD 500~
Path Traversal Ability to access arbitrary files and directories by manipulating variables. USD 500~
Other Other vulnerabilities USD 500

취약점 접수 신청서(로그인 필요)

프로그램 이용규약

프로그램 FAQ

관련 정보

Google Play Security Reward Program

Google Play Security Reward Program은 Google Play에 올라와 있는 특정 인기 Android 앱을 대상으로 Google Play가 제안한 bonus bounty 프로그램입니다.
예를 들어 LINE Security Bug Bounty 프로그램에 참가하여 보상금을 받은 참가자가 Google Play Security Reward Program에서 정해놓은 대상에 속한다면,
보상금 받은 것을 증명하여 Google로부터 같은 금액의 bonus bounty를 받을 수 있습니다.
LINE이 위 프로그램에 참가하고 있기 때문에 간단하게 소개드렸습니다.

IETF가 제안한 보고 채널 – security.txt

Security.txt는 취약점을 발견한 사람에게 적절한 보고 채널을 가이드할 수 있도록 IETF가 제안한 내용입니다.
LINE은 아래 주소에 security.txt를 설치하였습니다.

아직 드래프트 단계지만 LINE에서 보고자들을 안내하기 위한 채널로 설치하였기 때문에 간단하게 소개드립니다.

마지막으로

여러분의 많은 관심과 제보 덕분에 2018년 상반기(1월~6월)에는 전년 대비 보상금 지급 발생 건수 및 지급된 보상금액 합계가 증가하였습니다. LINE은 LINE Security Bug Bounty Program을 통해 여러가지 취약점을 조기에 찾아 개선할 수 있었고, 여러분께 더욱 안전한 서비스를 제공할 수 있었습니다.
아래 그래프는 월별 지급이 발생한 취약점 건수를 보여주고 있습니다.

월별 지급이 발생한 취약점 건수

아래 그래프는 월별 지급된 보상금의 합계를 보여주고 있습니다.

월별 지급된 보상금 합계

앞서 설명드린 것처럼 상반기에는 프로그램 개선의 일환으로 보상금 지급 기준이 되는 취약점별 보상금 참고 금액 테이블을 업데이트하였습니다. 앞으로도 LINE Security Bug Bounty 프로그램을 LINE의 보안 리스크를 줄일 수 있는 더욱 양질의 프로그램으로 확장, 발전시키도록 노력하겠습니다.
관심 있으신 분들은 본 프로그램에 대한 이전 블로그 글도 확인해 보시기 바랍니다.

상반기에는 [LINE x SECCON 2017] LINE Security Bug Bounty Program キャンペーン(일본어)와 「Bug Bounty」をテーマとしたSecurity Meetup(일본어)를 개최하였습니다. 본 블로그와 함께 읽어주시면 좋겠습니다.

취약점 접수는 LINE Security Bug Bounty Program 사이트에서 언제라도 가능합니다, 앞으로도 여러분의 많은 참여 부탁드립니다.