버그 바운티 정책
Firecore는 모든 제품에서 높은 수준의 보안을 유지하는 것을 우선시합니다. 전반적인 보안을 강화하기 위해 잠재적인 보안 위험이나 데이터 유출을 발견한 개인이 책임감 있는 방식으로 이를 트위터 팀에 공개하는 것을 환영합니다.
문제를 신고할 때는 아래 가이드라인을 따르시기 바랍니다.
- 자신의 데이터에만 액세스하고 노출
- 의도하지 않은 액세스 또는 다른 데이터의 노출이 발생하면 즉시 당사에 보고하세요. 현재로서는 추가 익스플로잇을 시도하지 마세요.
- 다른 사용자의 서비스 품질을 저하시킬 수 있는 도구와 기술을 사용하지 마세요.
- 취약점을 엄격하게 기밀로 유지하고 파이어코어에만 공개하세요.
관심 분야
당사는 모든 제출물을 소중하게 생각하지만, 많은 제출물이 사소한 경향이 있으며 Firecore 서비스 및 사용자 보안에 미치는 영향이 미미합니다. 하지만 특히 다음 사항에 관심이 있습니다:
- 클라이언트 애플리케이션 또는 클라우드 인프라에서 원격 코드 실행
- 클라우드 인프라에 대한 권한 상승 공격
- 인증 공격
- 크로스 사이트 스크립팅(XSS)
- 사이트 간 요청 위조(CSRF/XSRF)
리워드 프로그램에서는 다음과 같은 유형의 제출물은 보상 대상에서 제외됩니다:
- 서비스 거부 취약점(DoS)
- 부적절한 쿠키 처리
- 파이어코어 서비스에서 사용하는 타사 웹사이트 및 소프트웨어에서 발견된 보안 결함
- 다른 개인에게 악성 파일 또는 링크를 보내려는 시도
- 스팸, 피싱 또는 소셜 엔지니어링 수법 활용 사례
재현성
모든 종류의 보상을 받으려면 트위터 엔지니어가 문제를 재현할 수 있어야 합니다. 이렇게 하면 관련된 모든 당사자의 시간을 절약할 수 있으므로 보고서에 명확하게 기재해 주세요.
보상
앞서 언급한 가이드라인에 따라 익스플로잇이나 취약점을 책임감 있게 공개해주신 분들께 감사드리며, 이러한 도움은 고객 데이터의 보안을 강화하는 데 큰 도움이 됩니다.
당사의 보상 프로그램은 재량에 따라 운영되며, 파이어코어는 필요하다고 판단되는 경우 정책을 변경하거나 종료할 수 있는 권리를 보유한다는 점에 유의하시기 바랍니다.
알려지지 않은 취약점에 대해서만 보상이 지급되며, 내부 평가 또는 외부 신고를 통해 이미 알려진 취약점은 보상 대상에서 제외됩니다.
모든 적격 보고서에 대해 Infuse Pro 평생 무료 구독을 제공하게 되어 기쁩니다. 귀하가 이미 Infuse Pro의 라이선스 사용자이거나 Infuse를 사용하지 않는 경우, 당사는 해당 현금에 상응하는 금액을 귀하에게 제공할 것입니다.
보고서 제출 방법
잠재적인 보안 문제를 파이어코어에 신고하려면 다음 단계를 따르세요:
- 보안 메시지 보내기
- 플랫폼, 앱 버전, 필요한 익스플로잇 조건, 개념 증명 또는 익스플로잇 코드가 뒷받침하는 설명, 익스플로잇 시 잠재적 영향, 관련 첨부 파일과 같은 필수 정보를 보고서에 포함해야 합니다.
- 개별 직원에게 직접 연락하는 것은 자제해 주시기 바랍니다.
- 지정된 양식을 통해 제출한 경우에만 보상을 받을 수 있습니다.
보고서와 관련하여 궁금한 점이 있으면 언제든지 문의해 주시기 바랍니다. 트위터 서비스의 전반적인 보안을 개선하는 데 도움을 주셔서 감사합니다.