脆弱性報奨金制度 通年ではじまります ＆ 2022 振り返り - Cybozu Inside Out | サイボウズエンジニアのブログ

2023/04/21 8 users 通年 サイボウズエンジニア ブログ

こんにちは、Cy-PSIRTの久保です。本記事では報奨金制度の通年実施のご案内と、昨年分の振り返りについてお知らせしたいと思います。 サイボウズ脆弱性報奨金制度とは サイボウズ脆弱性報奨金制度は、弊社サービスに存在する脆弱性を早期に発見・改修することを目的とする制度です。対象製品の脆弱性を報告いただいた方... 続きを読む

npmの@typesスコープにおける任意のパッケージの改竄 - RyotaK's Blog

2021/08/08 42 users npm 改竄 Microsoft RyotaK's Blog

はじめに@typesスコープを管理しているDefinitely Typedは、Microsoftから支援を受けているものの、Microsoftの脆弱性報奨金制度におけるセーフハーバーの対象ではありません。1 本記事は、公開されている情報を元に脆弱性の存在を推測し、実際に検証することなく潜在的な脆弱性として報告した問題に関して説明したもの... 続きを読む

Twitterのフリート機能に対する権限昇格 - RyotaK's Blog

2021/01/05 32 users Twitter Twi 権限昇格 RyotaK's Blog

はじめにTwitterはBug Bountyプログラム(脆弱性報奨金制度とも呼ばれる)を実施しており、脆弱性の診断行為を行うことが認められています。 本記事は、そのプログラムを通して報告された脆弱性についてを解説したものであり、Twitterが認知していない未修正の脆弱性を公開する事を意図したものではありません。 また、Twi... 続きを読む

Appleの脆弱性報奨金プログラムへ送られた脆弱性が半年間も未修正であると判明、発見者は「失望した」としてゼロデイ脆弱性を公開 - GIGAZINE

2020/07/01 34 users Microsoft ソフトウェアエンジニア 報奨金 自社製品

自社製品の脆弱性に関する報告に報奨金を支払う脆弱性報奨金制度は、MicrosoftやGoogleなど多くの企業が導入しています。Appleも2019年に同様のプログラムである「Apple Security Bounty」を開始しましたが、同プログラムを利用したソフトウェアエンジニアであるジェフ・ジョンソンが「報告した脆弱性が半年間も修正され... 続きを読む

脆弱性報奨金制度で認定されづらいテキストインジェクション · GitHub

2019/01/06 174 users GitHub サイボウズ エントリー 脆弱性 過去

text_injection.md 脆弱性報奨金制度で認定されづらいテキストインジェクション これまでのエントリーでは脆弱性報奨金制度で認定された脆弱性を取り上げてきたが、今回は逆に認定されなかった脆弱性を取り上げる。私が過去にモナバコとサイボウズへ報告し、認定対象外となったテキストインジェクションの詳細を振り返り... 続きを読む

サイボウズ脆弱性報奨金制度で認定されたSSRF · GitHub

2018/09/13 10 users GitHub SSRF サイボウズ バグハンター合宿 合意

ssrf_in_cybozu.md サイボウズ脆弱性報奨金制度で認定されたSSRF 2017年11月に開催された「サイボウズ バグハンター合宿」への参加を機に、サイボウズの脆弱性報奨金制度に挑戦した。2017年度に認定されたcybozu.com共通管理でのSSRFの詳細をサイボウズと合意の上で開示する。 サイボウズの報奨金制度では、クラウドサー... 続きを読む

モナバコ脆弱性報奨金制度で認定された401インジェクション · GitHub

2018/05/17 25 users Twitter GitHub バグバウンティ モナコイン 概要

2018年5月5日に「 モナバコ 」というQ&Aサービスが 脆弱性報奨金制度 を導入した。国内の小規模サービスによるバグバウンティの独自開催は珍しく、モナコインという仮想通貨での報奨金支払いも異例だったため、興味をひかれ参加した。そこで認定された401インジェクションの脆弱性についてまとめる。 モナバコの概要 モナバコはTwitterを介したQ&Aサービスであり、Twitterアカウントでログイン... 続きを読む

Dropboxがセキュリティ技術者の権利を守るための脆弱性公開ポリシーを設定 - GIGAZINE

2018/03/25 37 users オンラインストレージ GIGAZINE Dropbox 昨今

By Ian Lamont オンラインストレージ サービスを運営している Dropbox では脆弱性報奨金制度を行っており、報告の内容によっては最高で約3万3000ドル(約350万円)の報奨金を支払う制度を導入しています。しかし、昨今のセキュリティ研究者は脆弱性情報を公開することで「企業に損害を与えた」として訴訟されるケースがあり、セキュリティ技術の発展を妨げている状況にあるとDropboxが指摘... 続きを読む

ep35 Security (Bug Bounty) | mozaic.fm

2018/03/05 17 users security mozaic.fm しくみ k2wanko

# ep35 Security (Bug Bounty) 第 35 回のテーマは Security の Bug Bounty 編です。 今回は、脆弱性報奨金制度(Bug Bounty)のしくみについて、 Bug Hunter として報告をする側である @kinugawamasato さんと、報告を受け付ける側である @k2wanko さんと、 @hnagatomo さんをお呼びして議論しました。 ... 続きを読む

LINE Bug Bounty

2015/08/05 112 users コミュニケーションアプリ 謝礼 報奨金 脆弱性 弊社

LINE Bug Bounty 報奨金は1件あたり最低 US$500から US$20,000です LINE株式会社は、2015年8月24日～9月23日にかけて、LINE Bug Bountyプログラム（脆弱性報奨金制度）を実施します。 弊社の製品であるコミュニケーションアプリ「LINE」の脆弱性を発見し報告いただいた方には謝礼として報奨金をお支払いします。 報奨金は、報告いただく内容によって異なり... 続きを読む

サイボウズグループ | ニュース | サイボウズCSIRT、JPCERT/CCより感謝状を受領

2015/08/04 22 users 慶久 JPCERT 青野 受領 サイボウズグループ

2015.08.04 サイボウズCSIRT、JPCERT/CCより感謝状を受領 脆弱性報奨金制度による自社製品の脆弱性情報の調査、公表が ソフトウェアのセキュリティを高める模範活動と評価される サイボウズ株式会社 Tweet 15080401.pdf（213KB） サイボウズ株式会社（本社：東京都中央区、社長：青野 慶久、以下 サイボウズ）の社内セキュリティ組織である「サイボウズ株式会社CSIRT... 続きを読む

ニュース - 4カ月で280万円支払い、サイボウズが脆弱性報奨金制度の成果を説明：ITpro

2014/07/14 20 users ITpro サイボウズ 現況 クラウドサービス 目玉

サイボウズは2014年7月11日、セキュリティ対策に関する取り組みの説明会を開催した。その席上、目玉として始めた「脆弱性報奨金制度」（関連記事：脆弱性を見つけたら最大100万円謝礼、サイボウズが報奨金制度を開始）の現況について説明した。 報奨金制度の運用を事実上始めた2014年2月下旬から6月末までの約4カ月間で、サイボウズの製品・クラウドサービスにおいて発見されたセキュリティ脆弱性件数は43件、... 続きを読む