持續強化資安 LINE 推出無限期「資安漏洞回報獎金計畫」
為持續優化資安,LINE今(6/2)日宣布長期推出「資安漏洞回報獎金計畫」,邀請iOS與Android版本的全球用戶隨時回報LINE應用程式中的安全漏洞,就有機會得到獎金回饋。去年LINE也曾在八、九月間舉辦過此計畫,今日則宣布長期推行此計畫。LINE「資安漏洞回報獎金計畫」官方網站:https://bugbounty.linecorp.com/en/。
LINE致力於保護用戶的隱私安全並持續積極強化資安的防護措施,於2015年8月推出「訊息保護(Letter Sealing)」和「完整刪除(True Delete)」兩大資安功能。而用戶端到伺服器端採用自創的 HTTPS-like 加密安全通道,比業界標準的 HTTPS simple authentication更安全,訊息在用戶與伺服器之間的傳送過程中,不會被攔截也無法遭外界讀取。為採用最嚴密的資訊安全防護措施,LINE在推出新服務前皆會經過資安團隊的反覆檢測,並邀請公司內外專家層層把關、找出潛在的程式漏洞,此次更宣布長期推行「資安漏洞回報獎金計畫」。(有關LINE資安聲明請參考官方網站:http://lin.ee/8UerkYU)
LINE努力不懈的持續改善服務安全,先前於2015年8月24日至9月23日推出的首屆「資安漏洞回報獎金計畫」,提供獎勵給予回報LINE應用程式安全漏洞的用戶。總計,LINE收到全球用戶2001件回報紀錄,其中有15項是先前未曾被揭露的系統缺失,所有的漏洞都已立即修復,為提升LINE服務的安全性做出了重大的貢獻2。
*1:數據為所有收到的安全漏洞回報,包括不完整的回報和一般漏洞回報。
*2:首屆「資安漏洞回報獎金計畫」計畫成果新聞稿請參考:http://linecorp.com/zh-hant/pr/news/zh-hant/2015/1141
於新聞發佈後確認的其他安全漏洞,請參考:http://linecorp.com/en/security/article/57
根據首屆計畫的成果、知識與經驗累積,LINE發現漏洞回報獎勵機制可為用戶帶來更安全嚴密的服務。因此,LINE決定將長期推行「資安漏洞回報獎金計畫」3。
*3:計畫的名稱已更改以釐清計畫的目的。
用戶如回報LINE應用程式iOS與Android最新版本(截至6月2日最新的6.3.0版本)中的資安缺失,LINE在查證並修復漏洞後,將公佈檢舉回報者的姓名及其所發現的系統缺失,依據類別和嚴重程度予以獎勵並列入LINE官方網站的名人榜4。同時,LINE將會公開安全漏洞的相關資訊。然而,獎勵條件不適用於已被LINE發現或已有其他人回報的漏洞問題。此外,此次「資安漏洞回報獎金計畫」僅適用於LINE應用程式本身,LINE旗下其他應用程式或服務的相關問題,則不在此計畫範圍內。但未來,LINE將考慮將其他的服務納入此計畫當中。
*4: 名人榜列表,請參考:https://bugbounty.linecorp.com/en/halloffame/
LINE將持續致力於保護用戶的隱私安全並積極強化資安的防護措施,期望能提供用戶最安全、穩定的使用經驗。