MYKEEPiN(App)

마이키핀은 블록체인 기반 DID 통합 인증 서비스로 사용자의 개인정보는 안전하게 본인의 모바일 기기에 저장하여 자신이 직접 자신의 데이터를 선별하여 사용할 수 있는 자기주권신원 증명 서비스입니다.
본 프로그램은 사용자 개인 정보, 자산 관리에 영향을 미치는 보안 문제를 해결하는 것을 목표로 하며, 아래와 같은 보안 문제에 관심이 있습니다.

• 어플리케이션에서 임의의 코드를 실행하는 취약점
• 인증 우회
• 사용자 개인 정보, 증명 정보 유출
• 사용자 지갑 도난 또는 자산 유출
• 제 3자의 개인정보 탈취
• 서비스의 기능 악용

참여 규칙

본 프로그램에 참여하는 모든 화이트 해커는 아래의 참여 규칙을 준수하여야 합니다.
해당 참여규칙을 준수하지 않는 제보, 참여자는 포상에서 제외되는 사유가 됩니다.

• 영업 등, 보안 문제와 관계 없는 내용의 스팸 티켓을 제보하지 않습니다.
• 프로그램 매니저와 협의 없이 티켓 내용을 외부에 공개하지 않습니다.
• 과한 트래픽을 생성하는 테스트, DDOS 공격은 하지 않습니다.
• 물리적인 접근이 필요하거나 사회공학적 공격 시도는 금지합니다.
• 실서비스 대상이므로 서비스 가용성 및 무결성에 영향을 주는 행위를 삼가합니다.
• 본 프로그램은 어플리케이션 한정 버그바운티 프로그램으로, 허가되지 않은 서버 침투 시도를 금지합니다.

포상에서 제외되는 경우

• 이미 제보된 취약점
• 제보자 본인이 아닌 제 3자의 계정이나 데이터에 접근한(하는) 경우
• 무작위 대입 공격
• 탈옥한 스마트폰에서만 발현되는 취약점
• 취약점 개념 증명 코드(PoC)를 포함하지 않은 제보
• 취약점 재현이 불가능한 경우
• 공격자에게 악용될 소지가 현격히 낮은 취약점
• 위협 가능성만을 제시하는 정책 설정(e.g. 패스워드 복잡도 미비 등)
• 과한 사용자 개입을 요구하여 악용 가능성이 낮은 취약점
• 보안에 영향을 주지 않는 UI/UX 문제

취약점 신고 시 다음과 같은 사항들을 포함하시면 좋은 평가 및 보상을 받을 수 있습니다.

• 취약점 이름
• 취약점의 발견 방법(과정)
• 버그를 재현하기 위한 코드(PoC)
• 발생한 서비스 및 도메인
• 해당 취약점이 보안상 어떤 위협이 될 수 있는지에 대한 설명(시나리오)

제한사항 및 공개 정책

• 보안 취약점이 수정되고 대부분의 사용자(고객)가 업데이트할 때까지 신고된 취약점에 대한 자세한 정보는 제3자에게 공개할 수 없습니다.
• 다른 사용자에게 피해를 끼칠 수 있는 행위는 삼가주시기 바랍니다.
• Metadium 관계자 및 임직원은 본 프로그램에 참여할 수 없습니다.

보상금 지급

• Metadium Technology Inc.은 제보된 취약점에 대한 유효성을 검증하고 보상 기준에 따라 보상금을 지급합니다.
• 보상금은 KRW로 책정되며, 기업이 회원에게 META 코인으로 직접 지급합니다.
• 보상으로 지급되는 META 코인의 가격은 보상금 지급일 기준 Upbit에 명시된 일별 종가를 따릅니다.
• 제보자는 MYKEEPiN 어플리케이션을 활용하여 암호화폐를 안전하게 받을 수 있으며, 입출금을 확인할 수 있습니다.
• 제보자는 보상금을 수령하기 기업의 매니저에게 지갑 주소를 전달하여야 하며, 제보자는 Explorer를 통해 트랜잭션 내역을 확인할 수 있습니다.