LINEではサービス公開以降、セキュリティ専門組織によるセキュリティ検証や内外の専門家による脆弱性対策など、継続的にセキュリティ強化に向けた取り組みをしてきたというが、新たな取り組みとして、一般から脆弱性の発見を報告してもらい、報告者に報奨金を支払う、という制度を行った。
今回はその結果報告だが、国内外から約200件の応募報告が集まり、社内での確認・検証の結果、7名14件の報告を新たに発見された脆弱性として認定し、公式サイト内の特設サイトで発表した。
LINE Bug Bounty Programでは下記のように脆弱性の種類と報奨金を定めているが、今回の応募者の中からは最も高い金額が設定されている「Client-Side Remote Code Execution」に該当する脆弱性も報告されている。この脆弱性の場合、最低金額でも2万ドルと設定されている。
- Message/Call Eavesdropping:最低10,000ドル
- SQL Injection:最低3,000ドル
- Cross-Site Scripting:最低500ドル
- Cross-Site Request Forgery:最低500ドル
- Client-Side Remote Code Execution:最低20,000ドル
- Server-Side Remote Code Execution:最低10,000ドル
- Authentication Bypass:最低5,000ドル
- Purchase Bypass:最低5,000ドル
- Other:最低500ドル
こうしたプログラムは技術者にとってもユーザーにとっても提供会社にとっても良いので、今後も継続的に行ってほしいところ。
報告された新たな脆弱性についてはバージョンアップですでに対応済み。
【情報元、参考リンク】
・LINE/プレスリリース
・LINE Bug Bounty Program公式サイト
・LINE Bug Bounty 脆弱性報告者リスト
