k2wanko2019-02-21LINE에서 취약점을 찾고 있습니다.
안녕하세요. LINE에서 보안 업무를 맡고 있는 Kazuhiro Kubota입니다. 이번 글에서는 2018년에 진행된 LINE Security Bug Bounty 프로그램의 결과를 공개하겠습니다.
2018년 Bug Bounty 프로그램 결과 공개
아래는 2018년에 Bug Bounty 프로그램으로 접수된 보고 건수를 주별로 집계한 그래프입니다. x축이 주(week)를, y축이 건수를 나타냅니다.
주별 보고 건수
2018년에 취약점으로 인정된 보고는 총 88건으로, 45건이었던 2017년과 비교하면 2배 가까이 늘었습니다. 보고 건수가 늘어난 데는 2017년에 심사 대상을 확대했다는 점도 영향을 주었겠지만, 프로그램이 널리 알려지면서 여러 취약점을 보고하는 분들이 늘어난 점이 더 큰 영향을 주었다고 생각합니다. 영업일로 환산하면 매일 1건 이상의 보고가 들어오고 매주 1건 이상이 취약점으로 인정된 셈입니다
이명재2018-08-02LINE에서 보안 업무를 맡고 있습니다.
2018년 상반기 LINE Security Bug Bounty Program 결과
안녕하세요, LINE에서 보안 업무를 맡고 있는 이명재(MJ)라고 합니다.
2018년 상반기(1월 1일~6월 30일) 동안 진행된 LINE Security Bug Bounty 프로그램 결과를 여러분께 알려드리려고 합니다.
LINE Security Bug Bounty Program은 LINE이 제공하는 서비스에 잠재되어 있는 취약점에 대해 외부 보안 전문가들로부터 보고를 받고 문제점을 수정하여 더욱 안전한 서비스를 제공하는 데 목적이 있습니다.
접수상황
취약점 접수 상황은 다음과 같습니다.
일별/취약점별 접수상황
2018년 상반기(2018년 1월 1일부터 6월 30일까지)에는 총 148건이 접수되었습니다. 2017년 상반기 96건과 비교해 접수 건수가 약 64% 증가하였습니다. 아래 그래프는 일별(주별)접수 건수를 보여주고 있습니다.
일별(주별)접수 건수
아래 차트는 접수된 취약점의 종류와 비율을 보
이명재2018-02-12LINE에서 보안 업무를 맡고 있습니다.
안녕하세요, LINE에서 보안 업무를 맡고 있는 이명재(MJ)라고 합니다.
이번 글에서는 2017년(1월 1일~12월 31일) 동안 진행된 LINE Security Bug Bounty 프로그램을 뒤돌아보며, 여러분께 그 결과를 소개하려고 합니다.
대상 확대 및 기부 제도
'LINE Security Bug Bounty Program'은 LINE이 제공하는 서비스에 잠재적으로 존재하는 취약점에 대해 외부의 보안 전문가들로부터 보고를 받아, 가급적 빨리 문제점을 수정함으로써 더욱 안전한 서비스를 제공하는 것을 목적으로 하고 있습니다. 지난 기사에서 소개한 바 있습니다만, 2017년에는 프로그램 대상을 확대하여 더욱 많은 보고를 받을 수 있었습니다. 또한 11월부터는 포상 대상자가 보상금을 기부할 수 있는 옵션을 제공하기 시작했습니다.
LINE Bug Security Bug Bounty Program 정보
2018년에 저희 프로그램에 참여해 보고 싶으신 분들은 다음의 페이지들을 확인해
이명재2017-08-06LINE에서 보안 업무를 맡고 있습니다.
대상 확대에 대하여
안녕하세요. LINE에서 보안 업무를 맡고 있는 이명재(MJ)라 고 합니다.
이번 블로그에서는 2017년 상반기(1월 1일~6월 30일) 동안의 LINE Security Bug Bounty Program을 뒤돌아보며, 여러분께 그 결과를 소개하려고 합니다.
이 프로그램은 LINE이 제공하는 서비스에 잠재적으로 존재하는 취약점에 대해 외부의 보안 리서처분들로부터 리포트를 받아 가능한 빨리 문제점을 수정함으로써 더욱 안전한 서비스를 제공하는 것을 목적으로 하고 있습니다.
또한 'LINE Security Bug Bounty Program'이라는 이름으로 상시운영을 개시(2016년 6월 2일)한 이후, LINE 서비스의 성장에 발맞추어 2017년 4월 10일부터 LINE의 Chrome 버전, Windows 10 Mobile 버전과, LINE STORE, LINE NEWS, LINE MUSIC, LINE LIVE의 각 Web 사이트까지 프로그램 대상을 확대 추가했습니다.
h
이명재2017-02-07LINE에서 보안 업무를 맡고 있습니다.
상시운영에 관하여
안녕하세요. LINE에서 보안 업무를 맡고 있는 이명재(MJ)라고 합니다.
먼저, 'LINE Bug Bounty Program'에 대해서 처음 들어보신 분들은 이전의 소개 블로그와 2015년도 시험운영 결과 블로그를 먼저 읽어보시길 권장합니다.
이번 블로그에서는 2016년 'LINE Security Bug Bounty Program'을 뒤돌아보며, 여러분께 그 결과를 소개하려고 합니다. 이 프로그램은 외부의 엔지니어분들로부터 보고를 받은 서비스에 잠재적으로 존재하는 취약점에 대해 가능한 빨리 문제점을 수정함으로써 더욱 안전한 서비스를 제공하는 것을 목적으로 하고 있습니다.
먼저 2015년도에는 'LINE Bug Bounty Program'을 8월 24일부터 9월 23일까지 한정된 기간동안 시험적으로 실시했습니다. 이후 2016년에는 앞선 1개월 간의 시험운영에서의 경험을 바탕으로, 2016년에는 프로그램 내용의 개정, 리스크의 계속적인 관리를 주 목적으로 개선하였습
이명재2015-12-16LINE에서 보안 업무를 맡고 있습니다.
버그바운티를 준비하면서
안녕하세요. LINE에서 보안 업무를 맡고 있는 이명재(MJ)라고 합니다. 이번 블로그에서는 지난 블로그에서 소개했던 것처럼 LINE이 처음으로 도전한 2015년도 LINE Bug Bounty Program(8/24-9/23)이 무사히 마감되어 그동안 어떻게 진행되었는지를 여러분께 공유하려고 합니다.
서비스에 잠재된 취약점을 신속하게 발견하고 수정하여 사용자에게 안전한 서비스를 제공하는 것이 이 프로그램의 취지였는데요. 프로그램을 준비하는 과정에서 회사 내 여러 부서의 도움을 받았습니다. 프로그램을 준비하면서 가장 필요했던 것은 경영진의 서포트와 멤버 구성이었습니다. 우선 경영진은 예산집행에 있어서 후원을 아끼지 않았습니다. 보통 기업들이 Bug Bounty Program을 진행하는 데 있어 가장 어려운 부분이 충분한 예산 편성과 자금 확보입니다. 하지만 LINE의 경영진은 장기적으로 서비스 안전성을 확보하는 것이 나중에 보안사고로 발생하는 손실비용보다 더 효
이명재2015-08-04LINE에서 보안 업무를 맡고 있습니다.
안녕하세요. LINE에서 보안 업무를 맡고 있는 이명재라고 합니다. 이번 블로그에서는 LINE에서 준비한 Bug Bounty 프로그램을 소개하려고 합니다.
Bug Bounty란
Bug Bounty란 자사의 서비스나 제품의 보안 취약점을 찾아낸 사람에게 보상금을 지급하는 프로그램으로, 글로벌기업의 경우 자사의 서비스 및 제품의 보안을 강화하는 방안으로 적극 활용하고 있습니다. 실제로 이 프로그램을 통해 많은 기업들이 자사의 서비스와 보안을 강화할 수 있는 기회로 삼아 적극적으로 보안 문제를 해결할 수 있었습니다.
LINE은 월 실사용자 2억 명 이상의 글로벌 기업으로 성장하였습니다. 이런 성장 과정에서 수많은 애플리케이션과 늘어난 사용자를 보안 위협으로부터 빠르게 보호해야 할 필요성이 생겼습니다. LINE에서도 Bug Bounty 프로그램을 통해 더 안전한 서비스를 제공하고자 합니다.
Bug Bounty 프로그램의 최대 목표는 자사 서비스 및 제품의 취약점을 가능한 빨리 찾아 내어 안