LINEグループ海外法人 求人サイトにおけるバグ修正に関するお知らせ
2019.06.13
2019年1月3日にLINE Bug Bounty Program を通じて LINEグループ海外法人の求人募集サイト(career.linecorp.com) におけるセキュリティバグ(脆弱性)報告を受け、その修正を行なったことをお知らせいたします。
脆弱性の概要
career.linecorp.com 上での特定の操作を行うことで、他の応募者が登録したファイルが取得可能な状態となっていました。 当該サイトを除き全てのLINEサービスには一切影響がありません。
- 対象サイト
career.linecorp.com LINEグループ海外法人用求人募集サイト
(日本法人における求人募集サイト https://linecorp.com/ja/career およびLINEキャリア https://career.line.me とは異なるWebサイトです) - ダウンロード可能となっていた情報
2019年1月3日以前に career.linecorp.com の採用フォームに送信されたファイル(応募者の履歴書情報など)
2. 対応について
2019年1月3日に脆弱性の原因を特定し、修正を完了しています。
当該脆弱性およびアクセスログの調査を行った結果、セキュリティ研究者が調査のためにいくつかのファイルを取得していたことが確認されました。当該セキュリティ研究者からは、取得情報の完全な廃棄と漏洩の禁止に関する誓約書を受領しています。対象となった応募者には、個別にメールにてご連絡しております。なお、上記セキュリティ研究者以外によるファイル取得の形跡は確認されておりません。
3. 脆弱性発覚からの対応時系列(日本時間)
- 2019年1月3日6:36 Bug Bounty Program を通じた脆弱性の報告
- 2019年1月3日 18:50 脆弱性の修正を完了
- 2019年1月3日 19:22 報告者に対して対応完了を連絡
- 2019年1月29日 報告者から情報削除についての誓約書を受領
- 2019年6月13日 対象者への連絡および公開
4. LINE Bug Bounty Program について
LINE Security Bug Bounty Programでは、引き続き脆弱性の報告を受け付けております。2019年6月現時点における脆弱性の認定は以下の通りです。
https://linecorp.com/ja/security/article/212
https://bugbounty.linecorp.com/ja/halloffame/
LINEグループでは透明性を保つため、重要な脆弱性は今後も公開を検討してまいります。
5. 本件に関するお問い合わせ
お問い合わせフォーム: https://contact-cc.line.me/en/10095/ (2019年7月12日まで)
以上