1. プログラムの目的
本プログラムは、コミュニケーションアプリ「LINE」及びWEBサイトに存在する脆弱性を早期に発見し、ユーザーに、より安全なサービスを提供することが目的です。2. 実施期間
2016年6月2日(15時)より終了期限を設けず実施いたします。3. プログラムの流れ
※結果公開は、内部審査完了後に順次行います。4. 対象
1.コミュニケーションアプリ「LINE」の最新版5. 参加条件
6. 報奨金
カテゴリー | 例 | 重要なアプリケーションの参考金額 | それ以外のアプリケーションの参考金額 |
---|---|---|---|
Remote Code Execution | クライアントサイド、サーバーサイドで任意のシステムコールを実行できる脆弱性 | $30,000 | $10,000 - $30,000 |
Full access to file system or database | SSRF,SQL Injectionなどの任意のファイル、データベースの全てのデータへの書き取り読み取りが可能な脆弱性 | $10,000 - $30,000 | $3,000 - $10,000 |
Account takeover | Authentication Bypassなどのユーザーの認証情報を盗める脆弱性 | $5,000 - $10,000 | $5,000 - $10,000 |
Logic flaw bugs, information leaks, or bypassing significant security controls | IDOR, impersonation, sensitive actions by user,Purchase Bypass などの検証不備、ユーザー操作なしにユーザーの重要情報を操作できる脆弱性 | $5,000 - $15,000 | $1,000 - $5,000 |
Execute code on the client | Cross-site scriptingなどのブラウザなどのユーザー端末でアプリケーションの振る舞いを操作できる脆弱性 | $1,500 - $5,000 | $500 - $1,500 |
Other valid security vulnerabilities | CSRF, Clickjacking, information leakageやそれ以外にもここで分類できない脆弱性 | $500 - $10,000 | $500 - $10,000 |
注意事項: 一部の環境や一部のユーザーにのみ適応される脆弱性は金額が変更される場合があります。
7. 報奨金の対象にならない項目
以下は、報奨金の対象にならない項目の典型例を記載しております。ただし、弊社の判断により報奨金の対象とするケースもございますので予めご了承ください。8. 報奨金の寄付について
ご報告者に支払われる報奨金を当社が指定したOSSやインターネットコミュニティ等を含む団体に寄付することができます。この場合、ご報告者に支払われる報奨金と同額を当社が上乗せし、寄付を行います。詳細についてはこちら【利用規約7条】をご参照ください。9. プログラムの詳細について
プログラムの詳細については、こちらをご参照ください。脆弱性報告は、こちらのWEBフォームをご利用ください。
なお、脆弱性報告フォームのオープン期間は、2016年6月2日からとなります。
本プログラムでは、認定する脆弱性について対象とするサービスを規定しています。報告の際には、
詳細ページ(第3条第2項)の記載内容をご参照ください。
1. 脆弱性の審査や注意事項について
脆弱性の審査は、LINE株式会社が定めた基準によって審査されます。脆弱性として認めた場合は報告者にご連絡差し上げます。2. 本プログラムに関する問い合わせについて
詳細ページ(第18条)をご参照ください。3. 本プログラム対象外のサービスに関する脆弱性報告
脆弱性報告フォームが利用できない場合や、本プログラム対象外のサービスに関する脆弱性報告は、以下のメールアドレスにご連絡ください。