LINE

LINE Security Bug Bounty Program

LINE株式会社では、サービス脆弱性の発見を公募し、報告者に報奨金を支払う「LINE Security Bug Bounty Program」を実施しています。

ご報告いただいた内容が脆弱性と認定された場合は、深刻性や新規性等に基づき報奨金をお支払いいたします。認定された脆弱性は、Hall of fameに掲示いたしております。

こちら

プログラム情報

  1. 1. プログラムの目的

    本プログラムは、コミュニケーションアプリ「LINE」に存在する脆弱性を早期に発見し、ユーザーに、より安全なサービスを提供することが目的です。

  2. 2. 実施期間

    2016年6月2日(15時)より終了期限を設けず実施いたします。
    ※予告なく一時停止・終了する可能性があります。

  3. 3. プログラムの流れ

    ※結果公開は、内部審査完了後に順次行います。
    • プログラム紹介
    • 脆弱性受付
    • 内部検討
    • 結果公開

  4. 4. 対象

    今回のプログラムでは、コミュニケーションアプリ「LINE」の最新版(脆弱性報告時におけるLINE for iOS, LINE for Androidの最新版)が対象になります。
    また脆弱性は、以下のドメインで発見されたものに限定します。
    • line-apps.com
    • line.me
    • line.naver.jp
    LINE株式会社が運営しているLINE関連アプリ(LINE Family apps, LINE Game apps等)は、本プログラムの対象外となります。細かな規定については、詳細ページ(第3条)に記載しています。

    本プログラムへの参加にあたり、下記の行為を禁止いたします。禁止行為に違反した場合には、報奨金の支払はいたしません。
    • 発見した脆弱性を利用して、他人のデータを閲覧、削除、変更、公開等する行為
    • 脆弱性自動 Scanner を用いた攻撃行為
    ※なお、当社に脆弱性を報告いただく際に、上記禁止行為を実施している場合には、脆弱性を報告いただくレポートにおいて必ずその旨を付記ください。

  5. 5. 参加条件

    • 成年であること
    • 当社又は当社の関連会社の社員でないこと
    • 当社と連携して進行したプロジェクトを過去に遂行した、又は現に遂行している者でないこと
    • 日本語又は英語でのコミュニケーションが可能であること
    • 報奨金の支払時点において日本又は米国の経済制裁措置の対象となっている国に居住していないこと

  6. 6. 報奨金

    脆弱性名 説明 参考金額
    SQL Injection SQLインジェクションにより、個人情報閲覧が可能 USD 3,000
    Cross-Site Scripting (XSS) XSSにより、sessionhijackやスクリプト実行が可能 USD 500
    Cross-Site Request Forgery (CSRF) CSRFにより、ユーザが意図しない処理をさせることが可能 USD 500
    Remote Code Execution クライアントあるいはサーバ側で任意コードを実行させることが可能 USD 10,000
    authentication bypass 認証をバイパスし、成りすましが可能 USD 5,000
    purchase bypass 課金をバイパスし、アイテムを購入可能 USD 5,000
    encryption break 暗号化された通信の解読により他人の認証情報が取得可能 USD 10,000
    Other その他 USD 500

  7. 7. 報奨金の対象にならない項目

    以下は、報奨金の対象にならない項目の典型例を記載しております。ただし、弊社の判断により報奨金の対象とするケースもございますので予めご了承ください。
    (1) 自動 scanner ツールで検出したものをそのまま報告した内容
    (2) 実際の検証コードがない仮説、又は理論上の内容
    (3) サービス拒否攻撃が可能であるという内容
    (4) パスワードあるいはトークンに対する総当たり攻撃が可能であるという内容
    (5) 任意の LINE 利用者にメッセージを送信することができるという内容
    (6) E メール検証不備、パスワードリセットリンクの有効期限、パスワード複雑度などのポリシーに関する内容
    (7) 重要処理ではない箇所におけるCSRFトークンの不在に関する内容
    (8) ログイン/ログアウトのCSRF
    (9) ユーザデバイスへの物理的なアクセスによる攻撃が可能であるという内容
    (10) セキュリティヘッダの不在に関する内容
    (11) LINE 利用者への影響がないスクリプト実行に関する内容
    (12) 本プログラム対象以外から発見された内容
    • 例①:*.line.me、*.line-apps.com、*.line.naver.jp 以外から発見した内容
    • 例②:ios/android以外のplatformから発見された内容
    • 例③:LINE関連アプリ(LINE Family apps、LINE Game apps)から発見された内容
    (13) 古いブラウザやプラットフォームに起因する内容
    (14) WEB の自動入力フォームに関する内容
    (15) 重要ではない Cookie のセキュアフラグ属性の不在に関する内容
    (16) 安全ではない SSL/TLS cipher suitesやプロトコルバージョンに関する内容
    (17) Rooting デバイスでユーザデータにアクセスできる内容
    (18) 誰でもURL経由でプロフィール写真、タイムライン写真等にアクセスが可能であるという内容
    (19) 仮想電話番号の利用に起因する内容
    (20) 報告の時点で当社に対し既に報告されている若しくは当社が既に把握している内容(LINEが定めた仕様に起因する内容を含む)又は既に公開されている内容
    (21) サーバーのバナー情報に関する内容
    (22) エラーメッセージによる情報に関する内容(スタックトレース、アプリケーションまたはサーバーのエラー)
    (23) ドメインのSPFレコード、DMARC、DKIMの未設定に関する内容
    (24) 不正なHTTPメソッドが使用可能な内容
    (25) Clickjackingに関する内容

  8. 8. プログラムの詳細について

    プログラムの詳細については、こちらをご参照ください。

報告&審査について

脆弱性報告は、こちらのWEBフォームをご利用ください。
なお、脆弱性報告フォームのオープン期間は、2016年6月2日からとなります。
本プログラムでは、認定する脆弱性について対象とするサービスを規定しています。報告の際には、詳細ページ(第3条第2項)の記載内容をご参照ください。

  1. 1. 脆弱性の審査や注意事項について

    脆弱性の審査は、LINE株式会社が定めた基準によって審査されます。脆弱性として認めた場合は報告者にご連絡差し上げます。
    当社がすでに把握している脆弱性が報告された場合は、審査対象外となります。
    脆弱性情報を受理し、評価をする間に別の報告者から同一脆弱性が報告された場合は、はじめに報告された脆弱性が審査の対象になります。
    また、報告された脆弱性が以下のいずれに該当する場合は、一つの脆弱性として認定されます。
    • 一つのメソッドに対し、複数のパラメータに同様の脆弱性がある場合
    • 複数のドメインにわたって稼動するメソッドに対し、同一の脆弱性がある場合
    脆弱性が認められたあとは、報奨金が支払われるとともに、本人の同意を得て、近日掲載予定のHall of Fame(名前(あるいはNickName)、脆弱性名前)にて、公開することがあります。

  2. 2. 本プログラムに関する問い合わせについて

    詳細ページ(第17条)をご参照ください。

  3. 3. 本プログラム対象外のサービスに関する脆弱性報告

    脆弱性報告フォームが利用できない場合や、本プログラム対象外のサービスに関する脆弱性報告は、以下のメールアドレスにご連絡ください。

    dl_bugreport@linecorp.com

    脆弱性報告フォーム以外からの報告は、原則として報奨金やHall of Fameの掲載の対象外となります。