LINE 為打造安全平台環境,於 2015 年起推動「LINE 資安漏洞回報獎金計畫」,攜手資安好手共同維護網路安全。除了希望能強化資安,更深一層意義是希望建立雙方信任的合法管道,鼓勵找到漏洞的駭客提報領獎,避免私下散播漏洞資訊、或利用漏洞製作攻擊工具等觸法行為,希望與資安研究者良性互動,鼓勵找到漏洞的專家爭取優渥獎金或名人堂留名,讓資安好手搏得好名聲。

獎金超敢給,各路高手來相挺

截至 2018 年底,LINE資安漏洞回報獎金計畫總計收到 146 份合格的報告,累計發放超過新臺幣 600萬元獎金,顯示出此計畫受到全球許多安全研究者的關注。

由於「LINE 資安漏洞回報獎金計畫」提供優渥獎金並維持與全球資安研究者的良好互動,吸引愈來愈多資安好手願意加入此計劃。以 2018 年為例,當年收到符合資格的漏洞報告共 88 筆,相較 2017 年的 45 份,幾近呈現倍數增長,顯示 LINE 漏洞獎勵計畫在資安圈的能見度與參與度,確實持續攀升。

有意提報領獎的好手,一旦找到漏洞,即可直接利用 LINE Security Bug Bounty Program 平臺,完成帳號的申請、登錄,接著提交報告,說明漏洞名稱、影響範圍、可能造成的危害,以及建議的修補方式;LINE 接收到報告後即展開評估,若證實真是漏洞,便著手修復,並告知提報者相關進度並給予獎金。

吸納外界能量,實現資安零疏漏

LINE 服務開發流程分為四階段,各階段都包含資安檢測程序。一是「企劃」階段,主要進行隱私資料蒐集的相關檢查,並確認是否符合各國法規;二是「開發中」階段,確認服務的架構是否有設計上的資安風險;三是「發佈前」階段,由資安人員執行整體性安全評估;四是「發佈後」階段,透過漏洞獎勵計畫,持續在服務發布後提升資安完善度。

其實 LINE 推出各項服務前,已歷經反覆檢查,但事實上過去的經驗顯示,要開發一個完全沒有資安漏洞的服務,幾乎是一個不可能的任務,因此將獎勵計畫視為安全開發生命週期一部分,透過外部能量,來持續強化服務安全性,讓 LINE 的資安防護能更臻完善。

獎酬與名人堂雙管齊下,營造成就感

安全研究者參與漏洞獎勵計畫的動機,不外乎拿獎金、搏得好名聲。國外已有人將「獎金獵人」當做正職,總獎金收入甚至遠超過軟體工程師的平均薪資;但挖掘漏洞畢竟是艱辛工作,需要投入過人恆心與毅力,有些人追求的不是錢,而是名譽、成就感。因此 LINE 不只給獎金,也藉由官方網站的名人堂,公開表彰貢獻卓著的提報者。而除了獎金與名人堂外,針對提交多個具價值漏洞的提報者,LINE 也額外再提供印有「LINE Security Bug Bounty」的專屬T-Shirt 感謝對於計畫的特殊貢獻。

LINE 藉由獎勵計畫釋出善意,讓 LINE、白帽駭客彼此合作以最正確的方式來處理資安議題,形成正向循環,改善整體服務安全,一同創造使用者、企業與安全研究者三贏的局面。


Advertisement

更多 iThome相關內容