[보안뉴스] 카카오, 버그바운티 독일인 후기

한 독일인이 카카오의 치명적인 취약점을 확인하고 2023년 12월 보고를 했습니다. 하지만, 카카오 측에서는 포상제도는 국내인으로만 한정하고 있어 제보자는 포상을 못 받았습니다.

뿐만 아니라, 중요한 인프라의 치명적 취약점임에도 불구하고 CVE (취약점 식별 번호, IT 전세계 보편적인 표준)를 발급받지 않겠다고 응답. 사실상 은폐 이외에 그럴 이유가 없고 취약점 제보자가 설명을 요청하니 카카오측 설명하지 않음 ("회사 정책") 외국인 입장에서는 버그바운티의 의미가 없어진 격이고 이로인해 제보자들은 해커들에게 팔 가능성이 높을 것 같다는 말에 카카오측은 묵묵무담이였다고 합니다.

제보자는 5월31일 POC를 공개하였고 카카오 버그바운티에 대한 짧은 후기를 남겼습니다. 출처 : https://stulle123.github.io/posts/kakaotalk-account-takeover/ 2차 출처 : https://www.reddit.com/r/hanguk/comments/1dor0ed...