18년 04월 13일 오후 1시경 배달의XX 어플을 사용하다가 취약점 체크를 진행했다.


약 1시간 후 오후 2시경 결제관련 취약점을 발견했다.


그러나, 배달의XX는 별도의 버그바운티나 개발관련 제보 창구가 존재하지않는다.


처음에는 고객센터로 전화해서 취약점 관련 제보를 물어봤으나 확인 후 연락을 준다는 답변만 받았다.


기다려도 답변이 없어



배달의XX 어플리케이션 위험도 상급의 취약점이 존재합니다. xxx-xxxx-xxxx 혹은 메일로 회신 부탁드립니다.


라는 내용으로 상담 메일을 보냈으나 답변까지는 2일 이상이 소요되었으며, 돌아온 답변은 아래와 같다.


'접수를 원하면 상세한 재현 사항을 적어 메일로 재접수하라.'


다시 PoC를 포함하여 메일을 보냈고, 그날 저녁 11시 30분경 상담사에게 전화가왔다.


'해당 내용에 대하여 다시 자세하게 설명해달라, 그리고 본 내용은 본사에 전달하겠다.'


결국 배달의XX 개발자 혹은 관리 담당자와의 연락은 단 한번도 하지못하였으며,
위의 상담사와 통화 후 약 일주일간 연락이 없어 재차 메일로 문의를 넣었지만


'배달의XX와 관련이 없는경우 별도의 회신을 하지않습니다.'


위와 같은 어처구니없는 답변을 받게되었다.

아무리 선의의 마음을 가지고 제보를 했다고는 하지만, 이러한 대처에 화가 나서 재차 문의메일을 넣었다.


이전 결제 취약점 제보시 버그바운티 제도를 같이 문의드렸는데
이후 처리결과라던지, 버그바운티 제도에 관련하여서도 아무 피드백이 없어서 문의드린겁니다.
배달의XX과 관련이 없는경우 별도 회신이 없다고 하시는데
어플리케이션은 배달의XX이 아닌지요?
버그바운티 제도가 있으면 있다, 없으면 없다 정도의 피드백은 있어야하는거 아닌가요?
밤 11시 넘어서 전화해서 취약점 물어보실때랑은 태도가 180도 다르네요.


그 이후 아무런 답변도, 메일도 받지못했다....

나도 잊고있던 어느날, 메일함에 배달의XX에서 보내온 메일이 보여 확인해보고 국내 버그바운티 및 화이트해커의 인식 자체의 문제를 다시한번 느꼈다.


안녕하세요. 배달의XX XXX입니다.
고객님께 혼선을 드려 죄송합니다.
시스템 오류로 인하여 문의내용과 맞지 않은 답변이 발신되어 정정 안내 드립니다.
우선 고객님께서 결제 취약점 제보 관련하여 소중한 의견을 주셨으나, 저희의 답변이 부족하여 마음을 불편하게 해드린 점 사과드립니다.
현재 배달의XX 어플의 취약점에 대해 제보해주시는 경우, 이에 대하여 관련 부서에 전달하고 조치될 수 있도록 하고 있습니다.
현재 버그바운티 제도는 별도로 운영되고 있지는 않으나, 배달의XX 앱의 위험성을 알리고 개선을 위해 제보하여 주시는 고객님께 감사의 마음을 담아 소정의 쿠폰을 제공해 드리고 있습니다.

  • 쿠폰코드 : XXXXXXXXXXXX
  • 쿠폰금액 : 10,000
  • 등록기한 : 2018-09-06~2018-10-08
    쿠폰은 등록기한 내 등록을 해주셔야지만 사용이 가능하며, 등록일로부터 45일간 유효합니다.
    혹, 기한 내 등록이나 사용이 어려우셨을 경우, 번거로우시더라도 다시 말씀해주시면 도움 드리겠습니다.
    다시 한 번 고객님의 소중한 제보에 감사 드리며, 더 정확하고 성의있는 답변을 드릴 것을 약속드립니다.
    더 나은 서비스로 보답하겠습니다.
    배달의XX XXX 드림


4월 26일경 문의한 내용을 9월 6일경에 답변을 받았다.


약 5개월 가량을 기다려서 나에게 돌아온 제보 보상(?)은 10,000원의 앱 이용 쿠폰이였다.


국내의 많은 웹, 앱, IOT등의 운영사들이 보안에대하여 깊게 생각하지않고 오히려 기업 이미지등의 실추를 우려하여 정보보안법이라는 법 뒤에 숨어 자신들의 문제를 숨기기 급급하다는 느낌이다.


오히려, 버그바운티를 장려하고 받아들여 그런점들을 마케팅에 활용한다면 더 나은 서비스를 운영할수있을텐데 안타까운 마음이 든다.


  • 본 블로그의 모든글은 해당 취약점의 제보를 위해 작성 및 사용됩니다.
  • 해당글은 실제 서비스 사업자의 요청시 바로 게시중단 및 삭제처리됩니다.
  • 실제 서비스 사업자분들은 해당글의 덧글에 비밀글로 작성해주시면 회신드리겠습니다.


'앱 취약점' 카테고리의 다른 글

배달의XX 결제 취약점 제보 과정 및 후기  (0) 2018.11.28

+ Recent posts