주식회사 비바리퍼블리카(이하 "회사" 또는 "토스")는 토스 서비스의 취약점을 찾아 제보하고 이에 대한 리워드를 지급하는 토스 버그 바운티 챌린지(TOSS BUG BOUNTY CHALLENGE)(이하 "본 챌린지")을 시행합니다. 본 챌린지에 참가하고 취약점 분석 및 제보를 통한 리워드를 받기 원하는 개인은 본 약관에 동의해야 하며, 회원가입과 참가신청 단계, 취약점 제보 단계를 진행할 시 본 약관에 동의한 것으로 간주됩니다.
제 1 조 (목적)
본 챌린지는 토스 서비스의 취약점을 조기에 발견하여 토스 이용자(이하 "이용자")에게 안전한 서비스를 제공하는 것을 목적으로 합니다.
제 2 조 (참가 자격, 참가 방법, 기간 등)
1. 본 챌린지에 참가하기 위한 참가자(이하 "참가자")는 다음과 같은 자격을 충족해야 합니다.
(1) 대한민국 국적의 개인이어야 합니다.
(2) 회사(계열사 포함)의 임직원이 아니어야 합니다.
(3) 회사 및 회사의 계열사 소속의 임직원은 퇴직 후 2년이 경과되었을 시 참가할 수 있습니다.(4) 토스가 서비스하는 토스 서비스 중 토스 앱의 회원이어야 합니다.
(5) 챌린지 사전 신청 기간에 참가신청서를 제출하고, 진단 시 사용할 Credential 값을 부여 받아야 합니다. 이는 홈페이지를 통해 확인할 수 있습니다.
(6) 리워드의 지급 시점에서 한국, 미국 또는 기타 국가 및 지역의 경제제재 대상국에 거주하지 않는 자여야 합니다.
2. 참가자가 본 챌린지에 참가하기 위해서는 회사가 지정한 웹사이트(https://bugbounty.toss.im)(이하 "홈페이지")에서 취약점 보고를 위한 계정(이하 "계정")을 생성해야 하며, 토스 계정을 통해 본인 확인을 진행해야 합니다.
3. 본 챌린지 참가에 필요한 제반 경비는 참가자가 부담합니다.
4. 본 챌린지 운영과 관련하여 필요한 연락은 홈페이지 계정과 회원가입 시 인증한 이메일을 통해 이루어집니다.
5. 본 챌린지의 사전 신청 기간과 운영 기간은 아래와 같습니다. 단, 회사는 필요에 따라 사전 통보 없이 본 챌린지를 종료할 수 있습니다.
- 사전 신청 기간 : 2022년 9월 21일 수 ~ 2022년 9월 30일 금 오후6시
- 운영 기간 : 2022년 10월 5일 수 오후 12시 ~ 2022년 11월 11일 금 오후 6시
6. 전항 단서에 따른 본 챌린지의 종료 시점 이전에 참가자가 보고한 취약점이 있을 경우, 회사는 본 챌린지가 종료된 후라 하더라도 이를 검토하고 참가자는 결과가 발표될 때까지 참가자로서의 지위를 유지합니다.
제 3 조 (대상)
1. 본 챌린지의 대상은 다음과 같습니다.
(1) 웹사이트
https://tossbank.com
https://linkpay.tosspayments.com
https://linkpay-api.tosspayments.com
https://buy.tosspayments.com
https://tossinvest.com
https://tossinsu.com
https://tosscx.com
*.toss.im 중 아래 대상은 제외합니다.
insurance-partner-insurer.toss.im
insurance-claim.toss.im
insurance-partner-insurer-web.toss.im
(2) 위 서비스에서 사용하는 API Gateway(api-gateway.toss.im)
(3) 본 챌린지 전용 모바일 애플리케이션 제공
* 제공된 전용 모바일 애플리케이션으로만 취약점 점검을 수행해야 합니다.
2. 전항의 대상 이외에서 발생한 취약점 제보는 리워드 대상이 아니며 허용된 대상 이외에 범위에 대한 공격을 금지합니다. 이를 위반한 참가자에 대하여 본 챌린지 참가 자격을 박탈할 수 있으며, 경우에 따라 IP 및 계정 차단과 법적 조치를 취할 수 있습니다.
제 4 조 (취약점 제보)
1. 참가자는 해당 홈페이지를 통해 이메일 인증, 토스 인증을 거쳐 계정을 생성한 후 제보하기 기능을 통해 취약점을 제보해야 합니다. 이 외의 공식적이지 않은 방법으로 제보된 취약점은 리워드 지급 대상에서 제외됩니다.
2. 취약점 제보 시 홈페이지를 통하여 제공되는 제보양식에 따라 상세 내용을 제보해야 합니다. 만약 내용이 취약점을 증명하기에 불충분할 경우 회사는 참가자에게 이에 대해 추가 자료를 요구할 수 있습니다.
3. 제보한 취약점 내용, 리포트 등에 대한 전반적인 내용의 저작권은 회사에게 있습니다.
4. 회사는 제보된 취약점을 보안성 향상을 위한 연구 등에 활용할 수 있으며 회사가 외부에 공개하기 전까지는 조치 완료된 상태여도 취약점을 제3자에게 공개할 수 없습니다.
제 5 조 (취약점 평가 및 리워드)
1. 회사의 재량으로 제보된 취약점에 대한 리워드 금액을 결정합니다.
2. 리워드 금액 책정은 취약점 위험도 등급 및 제보 내용(보고서)과 취약점의 종합적으로 판단하여 책정합니다. 리워드 금액은 취약점 당 최대 3,000만원입니다.
3. 취약점 등급 분류 기준은 다음과 같습니다. 분류 기준 이외의 제보 사항에 대해서는 회사 내부 버그 바운티 평가 위원회의 평가 결과에 따라 책정된 리워드 금액이 제공됩니다.
(1) 취약점 등급 분류류 기준(예)
* Critical ~3,000만원 *
원격 코드 실행
토스 계정 탈취
그 외 고객정보 또는 금융정보 대량 노출 등 토스 서비스에 심각한 영향을 줄 수 있는 취약점
* High ~2,000만원 *
Authentication Bypass
Misconfiguration 를 통해 서비스에 영향을 줄 수 있는 취약점
* Medium ~1,000만원 *
SQL Injection
SSRF
파일 다운로드 취약점
* Low ~500만원 *
XSS
CSRF
그 외 중요 정보 유출이 가능한 취약점
(2) 단, 전호는 리워드의 기준이 되는 취약점에 대한 예시를 기재한 것으로서, 해당 취약점에 대해 기재된 리워드 금액이 보장되는 것은 아닙니다.
4. 아래의 취약점은 리워드 지급 대상에서 제외됩니다.
- 약관에 명시된 기술적 취약점 외에 프라이버시 보호에 관련된 내용
- 이미 제보 된 내용
- 서비스 거부 공격
- 공격 가능성만 제기된 경우
- 재현이 불가능한 경우
- 버그 바운티 챌린지 대상에 포함되지 않는 경우
- 루팅 및 탈옥 된 단말기에서만 동작하는 클라이언트 취약점
- 횟수 제한 미 적용(서비스의 특정 기능의 Replay)
- 구 버전 라이브러리/소프트웨어 사용
- 관리자 페이지 노출
- 디버깅 응답 값 노출
- Clickjacking
- 에러페이지를 이용한 페이지 변조
- 서버의 어플리케이션 정보 노출
- Security, CSP 헤더 관련
- SSL 미적용으로 인한 쿠키 탈취
- 본인에게만 영향이 미치는 취약점(Self XSS, 직접 패킷을 변조해서 자신에게만 공격이 가능한 경우)
- 그 외 회사에서 이미 인지하고 있거나 위협이 적거나 없다고 판단되는 취약점
5. 회사는 참가자가 제보한 취약점에 대한 리워드 평가 과정과 결과를 홈페이지 계정을 통해 참가자에게 통지합니다.
6. 회사는 리워드를 지급받을 참가자에게 지급에 필요한 정보를 요청하면 참가자는 홈페이지 계정을 통해 정보를 회사에 제공해야 리워드 지급 단계가 진행됩니다. 참가자가 회사의 요청일로부터 30일 이내에 정보를 제공하지 않은 경우 리워드를 받을 권리를 포기한 것으로 간주합니다.
7. 리워드를 송금하기 위한 송금 수수료는 회사가 부담합니다. 리워드에 대한 세금은 참가자가 부담합니다.
8. 리워드 수령에 필요한 은행 계좌 등의 정보는 참가자 본인의 것에 한하며, 제보자의 성명과 은행 계좌주의 성명이 동일해야 합니다.
9. 참가자는 리워드를 수령할 권리를 제 3자에게 양도하거나 담보로 제공해서는 안됩니다.
10.회사가 참가자의 계정 또는 이메일 주소로 메시지를 보냈음에도 참가자가 요청일로부터 30일 이내 연락이 없는 경우(이메일 주소 입력 시 오류가 있었던 경우 등을 포함함), 참가자로부터 수령한 정보를 바탕으로 적절하게 송금 절차를 수행 했음에도 불구하고 참가자가 전부 또는 일부의 리워드를 수령하지 못한 경우(정보의 오류, 은행 시스템 장애, 참가자가 경제제재 대상자에 해당하는 경우 등을 포함함)에는 회사의 리워드 지급 의무는 소멸하는 것으로 합니다.
11. 참가자가 본 약관을 위반한 사실이 밝혀진 경우, 회사는 해당 참가자에게 리워드의 지급을 거부하거나 지급된 리워드의 반환을 요구할 수 있습니다.
제 6 조 (취약점 점검 시 유의사항 및 제보 적용 규칙)
1. 취약점 점검 시 아래와 같은 유의사항을 숙지하여 진행합니다.
(1) 포인트, 잔액 등 금전 관련 취약점 테스트 시 금액은 최소 금액(100원)으로 진행합니다. 발견한 취약점으로 취득한 금전적 이익은 제보 후 회수합니다.
(2) 공격 수행 중 계정 차단 및 IP 차단이 진행될 수 있습니다. 차단이 발생할 경우, 홈페이지 문의하기 채널 또는 메일(bugbounty@toss.im)을 통해 문의하면 사유 확인 후 해제 가능 여부를 판단하여 조치를 진행할 수 있습니다.
(3) SSRF 취약점 테스트 시 검증용 도메인 (https://bugbounty.toss.sb)을 사용하여 취약점에 대한 가능성만 증명합니다.
(4) 취약점 점검 시 사전에 부여 받은 개인의 credential을 User-Agent에 고정하여 사용합니다.
(5) 서버에 직접적인 영향을 주는 공격은 가능성만 제시합니다. 웹 쉘 업로드, 파일 변조 등 서버에 직접적인 영향을 주는 공격을 수행 시, 사전에 부여한 BugBounty-'{{ credentials }}'을 사용하여 TBBC-credentials.txt 파일을 생성하고 공격을 마칩니다. 공격 시도 후에는 시도한 파일 및 내역을 즉시 제보합니다.
(6) 타인의 정보 조회 공격 수행 시, 다량의 정보를 조회하지 않고 단일 건만 테스트 하여 가능성을 제시합니다. (해당 과정까지의 증명 내용을 바탕으로 이후 파급력에 대해서는 내부 버그 바운티 위원회의 회의를 통해 리워드 금액을 합리적으로 책정할 예정입니다.)
2. 취약점 제보와 관련하여 아래의 적용 규칙에 따릅니다.
- 회사는 유사한 취약점에 대한 보고를 받는 경우, 동일한 취약점으로 판단되는 취약점을 하나의 취약점으로 간주합니다.
- 여러 참가자가 동일한 취약점을 제보한 경우 회사가 받는 첫 번째 제보 건에 대해서만 리워드가 지급됩니다.
제7조 (금지 사항)
1. 참가자는 다음의 행위를 해서는 안됩니다.
- 사전신청을 하지 않은 자의 공격은 금지합니다.
- 서비스 가용성에 영향을 줄 수 있는 공격(취약점 자동화 공격이 가능한 스캔 툴 사용 등)은 금지합니다.
- 사용자에게 직접적인 피해 혹은 영향을 주는 행위(악성 URL 전달 등)는 제한합니다.
- 발견된 취약점과 점검 시 얻은 정보에 대해서는 제 3자에 공개는 금지합니다.
- 이 외에 타인의 권리를 침해하는 행위, 정보통신망법 제48조(정보통신망 침해행위 등의 금지)와 전자금융거래법 제21조의4(전자적 침해행위 등의 금지)의 사항들 및 각종 법령에 위배된 행위를 금지합니다.
- 기타 본 챌린지의 목적 및 취지에 반하는 행위를 금지합니다.
2. 회사는 전항을 위반한 참가자에 대하여 본 챌린지 참가 자격을 박탈할 수 있으며, 경우에 따라 법적 조치를 취할 수 있습니다.
제 8 조 (비밀유지)
1. 참가자는 제보한 취약점과 취약점을 통해 알게 된 정보(취약점 발생 위치, 공격방법에 대한 세부정보, 취약점 파급력, 기타 분석을 통해 얻은 정보 등)를 기밀 정보로 취급해야 하며, 본 챌린지의 종료 후에도 회사가 취약점을 공개할 때까지는 제 3자에게 공개, 유출 및 공표할 수 없습니다.
2. 참가자는 버그 바운티 참가신청서 작성 및 리워드 지급신청서 작성 시 취약점 정보 활용 및 비밀유지 관련 서약서를 작성해야 합니다.
제 9 조 (개인정보의 보호 및 이용)
1. 회사는 개인정보의 보호 및 처리와 관련하여 개인정보보호법, 정보통신망이용촉진 및 정보보호에 관한 법률 및 각 그 하위 법령에 정하는 사항을 준수하며, 개인정보의 보호를 위하여 노력합니다.
2. 회사는 개인정보의 수집, 이용, 제공, 보호, 위탁 등에 관한 제반 사항의 구체적인 내용을 개인정보처리방침을 통하여 규정하며, 개인정보처리방침은 회사의 웹페이지에 게시합니다.
3. 참가자가 본 챌린지 탈퇴를 희망하는 경우 홈페이지를 통해 참가자의 계정 로그인 후 탈퇴 신청을 할 수 있습니다. 회사는 참가자로부터 탈퇴 신청을 접수한 경우 참가자를 탈퇴 처리하며, 참가자로부터 제공받은 개인 정보를 파기합니다.
4. 회사는 참가자가 계정에 1년 동안 로그인하지 않을 경우 해당 계정을 휴먼처리 할 수 있으며, 2년 이상 계정에 로그인하지 않을 경우 참가자를 탈퇴 처리 할 수 있습니다.
제 10 조 (손해배상)
1. 회사나 참가자가 본 약관의 규정을 위반하거나 기타 불법행위를 하여 상대방에게 손해를 발생시킨 경우, 그 손해 발생에 귀책사유가 있는 당사자는 그 상대방의 피해를 배상하여야 합니다.
2. 회원이 서비스를 이용함에 있어 행한 불법행위나 본 약관 위반행위로 인하여 회사가 당해 회원 이외의 제3자로부터 손해배상 청구 소송을 비롯한 각종 이의제기를 받는 경우 당해 회원은 그로 인하여 회사가 입은 손해를 배상하여야 합니다.
3. 회사는 회원 상호간, 회원과 가맹점 상호간 또는 회원과 제3자 상호간에 발생한 분쟁에 대해서는 개입할 의무가 없으며, 회사에 귀책사유가 없는 한 이로 인한 손해를 배상할 책임이 없습니다.
제 11 조 (이용약관의 효력 및 약관변경 승인)
1. 회사는 관련 법령을 위배하지 않는 범위에서 본 약관의 내용을 개정할 수 있습니다.
2. 회사는 약관을 변경하는 때에는 그 시행일 1월 전에 변경되는 약관을 참가자에게 통지합니다.
3. 회사는 고지나 통지를 할 경우 "참가자가 변경에 동의하지 아니한 경우 고지나 통지를 받은 날로부터 30일 이내에 계약을 해지할 수 있으며, 계약해지의 의사표시를 하지 아니한 경우에는 변경에 동의한 것으로 본다."라는 취지의 내용을 고지하거나 통지합니다.
4. 회사는 참가자가 본 챌린지에 참가하기 전에 본 약관을 게시하고, 참가자가 본 약관의 중요한 내용을 확인할 수 있도록 합니다.
5. 회사는 참가자의 요청이 있는 경우 전자문서 전송(전자우편을 이용한 전송을 포함합니다), 모사전송, 우편 또는 직접교부의 방식으로 본 약관의 사본을 참가자에게 교부합니다.
6. 회사는 참가자가 약관의 내용에 대한 설명을 요청하는 경우 참가자에게 약관의 중요내용을 설명합니다.
제 12 조 (분쟁의 해결)
1. 회사와 참가자간 제기된 소송은 대한민국법을 준거법으로 합니다.
2. 서비스 이용과 관련하여 회사와 회원 사이에 분쟁이 있는 경우 회사와 회원은 이를 해소하기 위하여 성실히 협의합니다.
3. 전항에도 불구하고 회사와 회원의 분쟁이 해결되지 않는 경우, 해당 분쟁의 해결은 민사소송법에 따라 관할을 가지는 법원의 판결에 따르기로 합니다.
제 13 조 (본 챌린지에 관한 문의)
본 챌린지에 관한 모든 문의는 홈페이지 내 문의하기 기능과, 본 챌린지 관련 대표 이메일 bugbounty@toss.im으로 받고 있으며, 그 이외의 방법에 의한 문의는 받지 않습니다.
약관 개정일 : 2022-09-19