2023-12-13 06:37
다시 안녕하세요,
우선, 블로그 게시물을 게시하지 말아 주시길 요청드립니다. 카카오의 버그 바운티 프로그램은 기본적으로 정보 비공개를 기반으로 하기 때문에, 취약점에 대한 정보가 해결되었는지 여부와 상관없이 공개될 수 없습니다.
두 번째로, CVE ID를 요청할 계획은 없습니다.
귀하가 실망할 수 있다는 것을 이해하지만, 이것은 당사의 정책이므로 어쩔 수 없습니다. 개인적으로도 매우 유감스럽게 생각합니다.
이해해 주셔서 감사합니다.
2023-12-13 13:22
안녕하세요!
언제까지 문제를 해결할 계획인지 알려주실 수 있나요?
다음 카카오톡 릴리스와 함께인가요?
감사합니다
2024-01-02 15:44
새해 복 많이 받으세요!
이슈에 관한 새로운 소식이 있나요?
최신 카카오톡 버전에서 취약점을 패치했나요?
감사합니다
2024-01-03 02:16
안녕하세요,
카카오 보안팀입니다.
이 취약점 조치는 아직 진행 중입니다.
참고 바랍니다.
CommerceBuyActivity
2024년 2월 전에 패치 예정입니다.
m.shoppinghow.kakao.com
조치가 완료되었습니다.
Kakao 메일 계정
조치가 논의 중입니다.
감사합니다,
카카오 보안팀
2024-01-08 20:47
카카오 보안팀 안녕하세요,
답변 주셔서 감사합니다.
버그 바운티 프로그램에 대한 피드백을 드리자면:
바운티 보상을 한국 시민에게만 제한하는 것은 귀사에 매우 위험하다고 생각합니다.
이로 인해 국제 보안 연구자들이 취약점을 귀사에 직접 보고하지 않고, 다른 형태의 무책임한 공개(지하 포럼, 블랙 마켓 등)를 사용할 수 있습니다.
2024-01-09 02:06
귀중한 피드백에 대해 대단히 감사합니다. 저희는 사용자들의 제안을 진지하게 받아들이고 지속적으로 서비스를 개선하기 위해 최선을 다하고 있습니다. 귀하의 피드백은 저희 팀에서 철저히 검토하고 향후 개선 사항에 반영될 것입니다.
풍요롭고 행복한 새해 되시길 바랍니다!
2024-01-28 16:57
안녕하세요!
업데이트가 있나요? 취약점이 해결되었나요?
감사합니다,stullenfoo
2024-01-29 03:28
안녕하세요.
우선, 지속적인 관심에 감사드립니다.
현재 이 취약점을 해결 중이며 2월 내로 해결될 것으로 예상하고 있습니다. 추가 정보나 도움이 필요하시면 알려주세요.
감사합니다,
2024-02-18 12:47
안녕하세요,
업데이트가 있나요?
https://buy.kako.com이 오프라인 상태이고, https://m.shoppinghow.kakao.com/m/product/…;%3E가 이제 큰따옴표를 인코딩하고 있다는 것을 발견했습니다. 그래서 XSS 취약점이 해결된 것 같습니다.
안드로이드 앱도 수정되었나요?
감사합니다,
2024-03-12 12:14
다시 안녕하세요,
안드로이드 앱의 남아 있는 버그를 수정하셨나요?
감사합니다,
stullenfoo
2024-03-14 02:08
안녕하세요,
안드로이드 카카오톡의 문제는 해결되었으며, 수정 사항은 버전 1.9.0에 포함되었습니다. 지속적인 관심과 지원에 감사드립니다.
2024-03-14 11:14
안녕하세요,
좋은 소식이네요!
문제가 해결되었으므로, 이와 관련된 블로그 게시물을 작성할 예정임을 알려드립니다.
블로그 게시물을 게시하는 것과 관련하여, 제 18조의 이 독점적 구제조치는 제가 보상을 받지 못했기 때문에 이를 허용합니다:
⑤ "회원"은 비밀유지 의무에 대한 동의를 거부할 수 있습니다. 다만, 이 경우 "프로그램" 이용이 불가능합니다.
또한, 서비스 약관에 명시된 바와 같이, 이 프로그램은 한국인에게만 적용되며, 사실 저는 한국 시민권을 가지고 있지 않습니다.
블로그 게시물을 온라인에 게시하기 전에, 이를 공유하겠습니다.
2024-03-15 03:06
먼저, 훌륭한 보고서와 지속적인 참여에 대해 진심으로 감사드립니다.
저희는 취약점을 공개적으로 밝히지 않는 것을 선호하지만, 귀하의 관점을 존중하고 소중히 여깁니다.
귀하께서 이 주제에 대해 블로그 게시물을 작성하기로 결정하신다면, 저희 회사의 신원이 드러날 수 있는 정보를 가려주실 것을 부탁드립니다.
감사합니다.
https://github.com/stulle123/kakaotalk_analysis/…
카카오와 주고 받은 내용이네요.
내용의 처음이 마지막 서신인거 같은데.
취약점을 공개적으로 밝히는것은 선호하지 않지만 너님이 올린다니 카카오의 신원은 가리고 열려주면 좋겠어...