LINE Bug Bounty Programに報告して認定されなかった脆弱性(1) - QiitaLINE Bug Bounty Programに参加した。脆弱性はプログラミングに関する知識でしょう。 利用規約の第9条によって、LINEが公表するまで(場合によっては公表した後も)脆弱性を公開することは禁止されているけれど、脆弱性と認定されなかった場合は適用対象外らしい。LINEに確認した。審査不可の通知のメールは「今回の脆弱性報告対象ではありません」というそっけない感じだったけど、認定されなかった理由も教えてくれた。ありがとうございます。 ということで、認定されなかった脆弱性を紹介する。 グループチャットで誰が既読にしたかを知ることができる LINEのグループチャットでは、既読の人数のみが表示される。ユーザーは読んだのが誰かは分からないという想定で使っているはず。Aさんは誰が既読にしたか分からないという想定でLINEを使っているのに、Bさんが何らかの手段で誰が既読にしたかを知ることがで
