토스 버그
바운티 챌린지

토스 버그 바운티 프로그램에 큰 관심을 주셔서 감사합니다.
2022 프로그램은 종료되었으며,
추후 더 좋은 프로그램으로 돌아오겠습니다.
제보 및 리워드 단계 진행 내역은 확인 가능합니다.

TOSS BUG BOUNTY

비교할 수 없을 만큼
안전한
금융 서비스를
만들겠다는 다짐

보안 취약점을 먼저 발견하고 고쳐
더 안전하고 빈틈없는 서비스로 거듭나기 위해.
금융권 최초로, 자체 진행하는 버그 바운티 챌린지를 시작합니다.

참가 신청: 2022년 9월 21일 화요일 오전 9시-30일 오후 6시

버그 바운티 챌린지: 2022년 10월 5일 수요일 오후 12시-11월 11일 오후 6시

*참가 신청한 분들만 챌린지에 참여할 수 있습니다.

최고의 보안 전문가,
당신의 도전을 기다립니다

사전 신청을 하신 분이라면 누구나 챌린지에 참여할 수 있습니다.
새롭고 창의적인 관점으로 찾아낸 보안 취약점을 제보해주세요.
최고 수준의 리워드 제공은 물론, 명예의 전당에 이름을 올려드립니다.
TOSS BUG BOUNTY

버그 바운티 챌린지는
이렇게 진행됩니다

  • 참가 신청

    9월 21일 - 30일 오후 6시 closed

  • 취약점 제보

    10월 05일 오후 12시 - 11월 11일 오후 6시 closed

  • 리워드 제공

    11월 14일 이후

버그 바운티 대상

토스 커뮤니티 홈페이지 & 모바일 앱입니다.
이외 제보는 리워드 대상에서 제외됩니다.

토스 커뮤니티 홈페이지

  • 토스뱅크 (https://www.tossbank.com)
  • 토스페이먼츠 (https://linkpay.tosspayments.com)
  • 토스페이먼츠 (https://linkpay-api.tosspayments.com)
  • 토스페이먼츠 (https://buy.tosspayments.com)
  • 토스증권 (https://www.tossinvest.com)
  • 토스인슈어런스 (https://tossinsu.com)
  • 토스씨엑스 (https://tosscx.com)

토스 홈페이지

  • *.toss.im (제외 대상은 참가신청서를 참고해주세요)

토스 모바일 애플리케이션

  • 토스 애플리케이션 (안드로이드, IOS)
    * 버그바운티 전용으로 제공
    * 증권, 뱅크 서비스는 대상에 포함하지 않습니다.

진행 방식

  • 참가신청서를 제출한 분들께 참가 안내 메일을 보내드립니다.
  • 운영 기간 중에만 공격 및 제보를 할 수 있습니다.
  • User-Agent를 고정해 사용합니다.
  • 서비스 가용성에 영향을 주는 스캐닝 공격 행위는 멈춰주세요.
  • 공격 수행 중 계정 및 IP가 차단될 수 있습니다.

취약점 제보하기

취약점 제보는 토스 버그 바운티 홈페이지에서만 할 수 있습니다.
제보 필수 항목을 모두 포함해 제출해주세요.
  • 유형
  • 대상
  • 제목
  • 공격 payload
  • 공격 환경
  • 설명 및 발생 원인(스크린 캡쳐 및 코드 활용)
  • 파급력
  • 대응방안

리워드 안내

바운티 금액은 취약점 1개당 최대 3,000만 원 입니다.
취약점의 파급력과 위험도 등급, 제보 내용을 종합적으로 판단해 책정합니다.

취약점 카테고리 분류

    ~3,000만원

  • 원격 코드 실행
  • 토스 계정 탈취
  • 그 외 고객정보 또는 금융정보 대량 노출 등 토스 서비스에 심각한 영향을 줄 수 있는 취약점

    • ~2,000만원

  • Authentication Bypass
  • Misconfiguration 를 통해 서비스에 영향을 줄 수 있는 취약점

    • ~1,000만원

  • SQL Injection
  • SSRF
  • 파일 다운로드 취약점

    • ~500만원

  • XSS
  • CSRF
  • 그 외 중요 정보 유출이 가능한 취약점
    • 분류 기준 이외의 제보 사항에 대해서는 회사 내부 버그 바운티 평가 위원회의 평가 결과에 따라 책정된 리워드 금액이 제공됩니다.

리워드 관련 사항

  • 바운티 금액은 취약점 당 최대 3,000만 원(취약점 카테고리 분류표 참고)이며, 바운티 금액책정은 취약점의 파급력과 위험도 등급 및 제보 내용을 종합적으로 판단하여 책정합니다.
  • 동일한 취약점이 제보된 경우에는 먼저 제보한 참가자에게 리워드가 지급됩니다.
  • 버그 바운티에 참가하여 취약점이 인정된 화이트 해커에게는 기념품이 제공됩니다.

유의사항

버그 바운티 리워드 대상에 포함되지 않는 경우

아래의 경우 버그 바운티 리워드 대상에서 제외됩니다.

  • 약관에 명시된 기술적 취약점 외에 프라이버시 보호에 관련된 내용
  • 이미 제보된 내용
  • 서비스 거부 공격
  • 공격 가능성만 제기된 경우
  • 재현이 불가능한 경우
  • 루팅 및 탈옥 된 단말기에서만 동작하는 클라이언트 취약점
  • 그 밖에 위험성이 적다고 판단되는 모든 취약점 유형
  • 횟수 제한 미 적용
  • 구 버전 라이브러리/소프트웨어 사용
  • 관리자 페이지 노출
  • 디버깅 응답 값 노출

금지 행위 및 안내 사항

  • 서비스 가용성에 영향을 주는 스캐닝 공격 행위는 삼가하여 주시기 바랍니다.
  • 타 고객의 정보 및 금융 정보를 무분별하게 탈취, 복제 할 수 있는 행위는 금합니다.
  • 공격 수행 중 계정 차단 및 IP 차단이 진행될 수 있습니다.
  • 사용자에게 피해 혹은 영향을 주는 행위는 제한합니다.

문의하기

궁금한 사항이 있다면 자주 묻는 질문, 문의하기 기능 이용,
또는 bugbounty@toss.im 으로 문의해주세요.

토스 채용 바로가기

토스에서 채용 중인 보안 포지션을 확인하고 싶으시다면,
토스 채용 사이트를 통해 확인해 주세요.