關於LINE資安漏洞回報獎金計畫
哈囉!我的名字是李明宰,負責LINE app資訊安全的相關工作。
本文中,我將會說明LINE資安漏洞回報獎金計畫並且分享2016年的執行成果。LINE資安漏洞回報獎金計畫是一個正在進行中的活動:為了讓用戶能更安全更安心地使用LINE app,我們邀請外界的工程師來找出並回報資訊安全漏洞,我們也會在確認後立即修復這些問題。
一開始我們在2015年8月24日至9月23日期間嘗試了一個稱為LINE Bug Bounty Program的計劃。基於此次試行過程中所獲得的經驗,在2016年我們做了一些改變進而開始這個改良版的漏洞回報獎勵計畫。我們在2016年6月2日推出了這個全新改良的LINE資安漏洞回報獎金計畫(LINE Security Bug Bounty Program)。
有關LINE Bug Bounty Program的更多資訊,請參閱我們先前的部落格文章:「Introducing the LINE Bug Bounty Program」與「Results From the LINE Bug Bounty」。
LINE資安漏洞回報獎金計畫官方網站: https://bugbounty.linecorp.com/
Bug bounty問答集: https://bugbounty.linecorp.com/apply/
Bug bounty FAQ: https://bugbounty.linecorp.com/en/faq/
漏洞通報提交分析
從2016年6月2日至12月31日的7個月期間,我們一共收到了97件漏洞通報。以下圖表顯示每週漏洞通報的數量,以及所提交漏洞的類別。
每週漏洞通報數量與類別
提交的國別
我們從12個不同的國家收到97件漏洞通報。正如下列圖表所示,來自許多不同國家的工程師都對LINE資安漏洞回報獎金計畫感到有興趣。隨著LINE全球各地用戶數的持續成長,我們看到越來越多人透過LINE資安漏洞回報獎金計劃與我們聯繫或討論資安技術。
依國別統計提交數量
評估程序
收到的漏洞通報會經過兩個步驟的評估。每一份通報都必須通過第一階段與第二階段的評估才能被確認為漏洞。一旦一個漏洞通報通過了評估程序,我們將會給付獎金給通報這個漏洞的人,並且會將通報者與漏洞的類別加到我們對外公開的名人堂。有關評估程序的更多詳細資訊,請參閱我們先前的部落格文章「Results From the LINE Bug Bounty」。
1st ACCEPT: 接受進一步評估
1st REJECT: 拒絕進一步評估
2nd ACCEPT: 經詳細查證後,確認為漏洞
2nd REJECT: 經詳細查證後,不被認定為漏洞
COMPLETE: 給予獎勵
計畫成果
藉由漏洞回報獎金計畫,我們總共發現了13個漏洞,其中包括cross-site scripting(XSS)與cross-site request forgery(CSRF)的案例。在這個計劃中我們總共支付了27,000美元的獎勵金。你可以在我們的名人堂頁面查看結果。在此頁面上可以找到名人堂的更新資訊: https://linecorp.com/en/security/list/>https://linecorp.com/en/security/list/。
此外,有8個人的漏洞回報雖然不在獎勵的範圍內而沒被列入名人堂,但他們的確提供了有用的資訊,因此我們將他們列入「特殊貢獻者」的名單中。
結語
由於對這個計畫的興趣以及我們所收到的這些報告,幫助我們找到許多漏洞。當我們採取措施修補這些漏洞之後,用戶就可以更安全放心地使用LINE。未來,我們將長期舉辦LINE資安漏洞回報獎金計劃,以進一步降低LINE的安全風險,此外,我們也打算將這項計劃拓展至LINE開發出來的各類新服務。
此外,歡迎你透過LINE資安漏洞回報獎金計畫官方網站來回報漏洞。感謝你的參與!