취약성 책임 공개

이 정책은 2014년 1월 3일에 마지막으로 업데이트되었습니다.

책임 공개 정책

이 페이지의 정보는 Netflix 보안 팀에 보안 취약성을 신고하는 보안 담당자를 위한 것입니다. Netflix 회원이고 신원 도용 또는 악성 코드와 관련하여 궁금한 사항이 있으면 다음 지원 페이지를 참조하세요.

계정, 요금 청구 또는 사이트 콘텐츠에 대한 정보를 알아보려면 전화 또는 실시간 채팅을 통해 고객 센터에 문의하시기 바랍니다.

Netflix 콘텐츠 또는 애플리케이션에서 보안 취약성을 발견한 경우에는 가능한 한 빠른 시일 내에 Netflix에 신고하고 해당 취약성이 해결될 때까지 공개하지 않을 것을 강력하게 권장합니다. Netflix는 여러분의 도움에 감사드리며 모든 문제 신고를 검토하여 적절한 시간 내에 문제를 해결하기 위해 최선을 다할 것입니다. 책임 공개를 권장하기 위해 Netflix는 다음과 같은 가이드라인을 준수한 공개에 대해서는 공개 당사자를 상대로 소송을 제기하거나 법적 집행을 요청하지 않을 것입니다.

책임 공개 가이드라인

  • Netflix에 취약성을 보고하고 상세 정보를 제공합니다. 문제점을 대중에 공개하기 전에 Netflix가 문제를 해결할 수 있는 적절한 시간을 주시기 바랍니다.
  • Netflix에서 문제를 파악하고 재현할 수 있도록 취약성에 대한 적절한 레벨의 상세 정보를 제공합니다. 상세 정보에는 대상 URL, 요청/응답 쌍, 스크린샷 및/또는 기타 정보가 포함되어야 합니다.
  • Netflix에서는 귀하의 메일을 확인하고 문제의 타당성과 재현 가능성을 평가합니다. 타당하다고 판단한 문제는 Netflix에서 해결하기 위해 노력하며 진행 상황을 계속 공유할 것입니다.
  • 취약성을 조사할 때 서비스 중단(예: DoS), 개인정보 보호 문제(예: Netflix 고객 데이터 액세스), 데이터 손실이 발생하지 않도록 노력해 주시기 바랍니다.
  • Netflix 또는 외부 업체에 보안 취약성 신고에 대한 보상을 요구하지 마세요.
  • Netflix 직원 또는 고객을 사칭하거나 사회공학적으로 악용해서는 안 됩니다.
  • 문제가 있는지 확인하지 않은 상태에서 자동 스캔 도구를 실행하거나 그 결과물을 Netflix에 보내지 마세요. 보안 도구는 종종 오탐지 결과를 제공하기도 하므로 신고하기 전에 결과가 확실한지 확인해야 합니다.

책임 공개를 권장하는 취약성 카테고리

Netflix에서 권장하고 있는 신고 대상 취약성 카테고리는 다음과 같습니다.

  • 교차 사이트 스크립팅(XSS)
  • 교차 사이트 요청 위조(CSRF)
  • SQL 삽입(SQLi)
  • 인증 관련 문제
  • 인증 관련 문제
  • 데이터 노출
  • 리디렉션 공격
  • 원격 코드 실행
  • 명시적인 카테고리에 속하지 않는 정교한 취약성 또는 독특한 문제

취약성 카테고리 범위를 벗어나는 문제

다음과 같은 취약성 카테고리는 Netflix의 책임 공개 프로그램의 범위를 벗어나는 것으로 간주되며 이를 신고하는 보안 담당자에게 크레딧이 제공되지 않습니다.

  • 구성 또는 버전과 관련된 SSL 취약성
  • 서비스 거부(DoS)
  • 사용자 열거
  • 무차별 암호 대입 공격
  • 중요하지 않은 쿠키에 보안 플래그 설정되지 않음
  • HTTPOnly 플래그 설정되지 않음
  • 로그아웃 교차 사이트 요청 위조(CSRF)
  • 오래된 브라우저/오래된 플러그인/수명이 끝난 소프트웨어 브라우저에만 있는 문제
  • HTTP TRACE 메서드 사용 설정
  • 웹 서버, 서비스 또는 프레임워크의 보고된 버전 번호와 관련된 취약성 보고서
  • 인증 및/또는 중요한 상태 변경 없이 페이지에서 클릭재킹
  • 애플리케이션 취약성이 아니라 사회공학적 공격 또는 피싱 공격의 양상을 보이며, 의심스럽거나 불합리한 작업을 수행하기 위해 상당한 사용자 협력을 필요로 하는 취약성 보고서(예: 브라우저 보안 기능 사용 중지, 공격 완료를 위해 공격자에게 중요한 정보 전송, 특정 경로로 사용자 안내, 사용자에게 악성 코드를 직접 입력하도록 요청 등)

보안 취약성 신고 방법

Netflix에 보안 취약성을 신고하려면 security-report@netflix.com으로 메일을 보내 주시기 바랍니다. 메일을 암호화해야 할 경우 다음과 같은 PGP 키를 사용할 수 있습니다.

PGP 키

-----BEGIN PGP PUBLIC KEY BLOCK-----
Comment: GPGTools - https://gpgtools.org
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=Mwb9
-----END PGP PUBLIC KEY BLOCK-----

참가한 보안 담당자 - 2017년

Netflix의 책임 공개 프로그램에 참여해 주신 다음 담당자분들께 감사드립니다.

  • Sumit Sahoo(@54H00)
  • Suyog Palav(@SuyogPalav555)
  • Maurice Dibbets
  • Jon Bottarini(@jon_bottarini)
  • Dhaval Chauhan(@17haval)
  • Jean St-Laurent(@JeanDebogue)
  • Eusebiu Blindu(@testalways)
  • Akash Saxena(@AkashSaxena21)
  • Joshua Hnat
  • Jack Whitton(@fin1te)
  • Warren Doyle(@wdoyle2)
  • Ashish Kumar Agarwal (@ashishag29)
  • Marek Szustak (@mszustak)
  • GwanYeong Kim(@sec_karas)
  • Raad Firas Haddad(@raadfhaddad)
  • Rémy Marot(@R_Marot)
  • Vineet Kumar(@the_real_clown)
  • Wen Bin KONG(@kongwenbin)
  • Dor Shahaf

참가한 보안 담당자 - 2016년

Netflix의 책임 공개 프로그램에 참여해 주신 다음 담당자분들께 감사드립니다.

  • Fredrik Nordberg Almroth(@almroot)
  • Ofer Gayer(@ZigZag_IL)
  • Daniel Bakker(@jackds1986)
  • Ahmed Adel Abdelfattah(@00SystemError00)
  • Mustafa Hasan(@strukt93)
  • Gerardo Venegas(@v0raz)
  • Mikołaj Dądela(@mik01aj)
  • Marwan Medhat(@SpringStatue)
  • Nenad Borovčanin(@nenad_b97)
  • Bernardo Diaz(@bada_77)
  • Caden Sumner(@CadenSumner)
  • David Moore(@grajagandev)
  • Eric Head(@codecancare)
  • Ruslan Bakhvala(@ruslan_bakhvala)
  • Robert Adam(@robertadam0)
  • Brett Buerhaus(@bbuerhaus)
  • Ben Sadeghipour(@NahamSec)
  • Jake Reynolds(@jreynoldsdev)
  • Mohammad Aman Khan(@khn_amn)
  • Keith Gardner(@kreios4004)
  • Anas Falhi(@M0ti0nl3ss_)
  • Jon Bottarini(@jon_bottarini)
  • Teemu Kääriäinen(@NixuTigerTeam)
  • Tommy DeVoss(@thedawgyg)
  • David Mann(@stembrain)
  • Anand Bhat(@_anandbhat)
  • Shay Shavit(@Chapakpuk)
  • Djaballah Mohamed Taher(@Djaballah_Med_T)
  • Rakesh Chinna(@rakesh_3895)
  • Naftali Rosenbaum(Twitter 핸들 없음)
  • Arne Swinnen(@arneswinnen)
  • David Wind(@slashcrypto)
  • Michael Carlson(@blainecarlson)
  • Yasin Soliman(@SecurityYasin)
  • Abner Mendoza
  • Phakpoom Chinprutthiwong
  • Suleman Malik(@sulemanmalik_3)
  • Ali Hassan Ghori(@alihasanghauri)

참가한 보안 담당자 - 2015년

Netflix의 책임 공개 프로그램에 참여해 주신 다음 담당자분들께 감사드립니다.

  • Fredrik Nordberg Almroth(@almroot)
  • Jonathan Conerly
  • Ali Hassan Ghori(@alihasanghauri)
  • Behrouz Sadeghipour 및 Patrik Fehrenbach(@NahamSec)
  • Stephen Tomkinson(@neonbunny9)
  • David Dworken(@ddworken)
  • White Rabbitz(GER)
  • Christopher Presley(@The_Beard_Lives)
  • @insaneasusual
  • Mo'men Basel(@MomenBassel)
  • jamm0(@jamm0us)
  • MentaL(@ragezone)
  • Frank B. Vickers(@SarccastikDude)
  • Ashar Javed(@soaj1664ashar)
  • Abdel Hafid Ait Chikh(@HafidAitChikh)
  • Guillaume Prieur(@gplaurin)
  • Jesse Clark(@Hogarth45_ND)
  • Ryan Preston(@ripr4p)
  • Mikael Byström(@gsocgsoc)
  • Tod Beardsley(@todb)

참가한 보안 담당자 - 2014년

Netflix의 책임 공개 프로그램에 참여해 주신 다음 담당자분들께 감사드립니다.

  • Ali Hassan Ghori(@alihasanghauri)
  • Cameron Crowley(@crowley_cam)
  • S.Venkatesh(@PranavVenkatS)
  • Rodolfo Godalle, Jr. (@rodgodalle)
  • Garrett Calpouzos(@GCalps)
  • Guillermo Gabarrín(@ggabarrin9)
  • Kamil Sevi(@kamilsevi)
  • Waqeeh Ul Hasan(@dowaqeeh)
  • Jared Perry(@jared_perry)
  • Robert Williamson(@bobbyman3)
  • Burak Bakir(@pr3d1c7)
  • Andrew Neculaesei(@neculaesei)
  • Ketan Sirigiri(@Cigniti)
  • Gineesh George(@g1n1_influenza)
  • Dan Singerman(@dansingerman)
  • Kenneth F. Belva(@infosecmaverick)
  • Akbar Qureshi(@_AkbarQ)
  • Web Plus
  • Ch. Muhammad Osama(@ChMuhammadOsama)
  • Nitin Goplani(@nitingoplani88)
  • Marcin Piosek(@piochu)
  • Abderrazak YS. (@Y33OULS)
  • Han Lee(@_hanlee)
  • Caleb Watt(@calebwatt15)
  • Krishna Chaitanya Kadaba(@cigniti)
  • Gustavo de Oliveira(@highustavo)
  • Sergio Galán(@NaxoneZ)
  • Rafael Pablos
  • kminthant(@psxchotic)
  • Louis Nadeau(@cybpoulet)
  • Kyle Davidson(@X942_Dev)
  • Robert Verderame(@robertverderame)
  • Olivier Beg(@smiegles)
  • Tim Jenson(@timFGO)
  • Robert Daniel(@_drxp)
  • Danish Tariq
  • Justin Kennedy(@jstnkndy)
  • Christopher Presley(@The_Beard_Lives)
  • Malte Batram(@_batram)
  • David Middlehurst(@dtmsecurity)
  • Francisco Correa(@panchocosil)
  • Mohamed Abdelbaset Elnoby(@SymbianSyMoh)
  • Jack(@linkcabin)
  • David Vieira-Kurz(@secalert)

참가한 보안 담당자 - 2013년

Netflix의 책임 공개 프로그램에 참여해 주신 다음 담당자분들께 감사드립니다.

  • Paul Scott
  • Jack W(@fin1te)
  • Murat Suljovic
  • Rakan Alotaibi(@hxteam)
  • Reginaldo Silva(@reginaldojsf)
  • Rafay Baloch(@rafaybaloch)
  • Kamil Sevi(@kamilsevi)
  • Chiragh Dewan(@ChiraghDewan)
  • Frans Rosén
  • Sabari Selvan(@EHackerNews)
  • Adam Ziaja(@adamziaja)
  • Yuji Kosuga(@yujikosuga)
  • Emanuel Bronshtein(@e3amn2l)
  • Siddhesh Gawde
  • Malte Batram(@_batram)
  • Ahmad Ashraff(@yappare)
  • Camilo Galdos Aka Dedalo(@SeguridadBlanca)
  • Sergiu Dragos Bogdan
  • Aditya K. Sood(@AdityaKSood)
  • Mohankumar Vengatachalam(@vimokumar)
  • Johnathan Kuskos(@johnathankuskos)
  • Evgueni Erchov(@EErchov)
  • Dylan S. Hailey(@TibitXimer)
  • Rajat Bhargava
  • Ehraz Ahmed(@securityexe)
  • Abhinav Karnawat(w4rri0r)
  • Ajay Singh Negi(@AjaySinghNegi)
  • Peter Jaric(@peterjaric)
  • David Hoyt(@cloudscan)
  • Tarek Siddiki
  • Devesh Bhatt(@deveshbhatt11)
  • Defencely @Defencely
  • Matt Ashburn @mattashburn
  • Yaroslav Olejnik - O.J.A.(@oja_c7s)
  • Rupesh Reddy( _hck3r )
  • Stewart Anderson(@StewieMAnderson)
  • Florindarck(@QuisterTow)
  • Ali Hassan Ghori(@alihasanghauri)
  • Muhammad Shahmeer(@Shahmeer_Amir)