Details

PatchDay Bug Bounty Program

PatchDay, a bug bounty platform created by leading cybersecurity R&D startup Theori, brings together companies and security experts to create a safer digital world.

PatchDay는 사이버보안 R&D 스타트업 티오리가 만든 버그바운티 플랫폼으로서 안전한 디지털 환경을 만드는데 기여합니다. 활약해주시는 화이트햇 해커들과 파트너사에게 안전한 취약점 제보 환경을 제공하고 투명성과 보안성을 겸비한 신뢰할 수 있는 버그바운티 프로그램 운영을 돕습니다.

PatchDay 플랫폼의 보안 취약점을 조기에 발굴해 보다 안전한 버그바운티 운영 환경을 만드는 것을 목표로 합니다.

Program Period

2021.10.05 ~ 2026.10.05

Scope

PatchDay 서비스 전체 (PatchDay platform in its entirety)

Submission Requirements

보고서에는 다음과 같은 항목이 포함되어야 합니다:

취약점 요약, 개요 (Vulnerability summary and overview)
취약점 상세 (Vulnerability details)
취약점 상세 설명 (Detailed description)
Proof-of-concept 코드 (PoC code)
예상되는 버그 원인 (Optional - Expected bug cause)
해결 방법 (Optional - Resolution method)

Response Timeline

First response: 1 영업일 (1 business day)
Triage: 5 영업일 (5 business days)
Resolution: 취약점에 따라 상이 (Varies by vulnerability)
Bounty: PatchDay 지급 일정에 따름 (According to PatchDay payment schedule)

Bounty Rewards

Severity	Amount
Critical	200만원
High	100만원
Medium	50만원
Low	10만원
None	0원

난이도별 보상의 척도는 취약점 분류별 위험도 범위와 CWSS(Common Weakness Scoring System)를 기준으로 하지만, 보상은 평가자의 결정에 따라 변경될 수 있습니다.

Out of Scope Vulnerabilities

The following are excluded from vulnerability consideration:

보안관련 헤더 (Mitigation) 부재 리포트 (Missing security headers/mitigation reports)
인지하고 관리 중인 Risk (Risks already known and managed)
Open Redirect
Self XSS
FE에서의 Sentry, GA, Kakao, Clarity API Key 노출 (API key exposure from FE services)
피해가 매우 경미하거나, 파급도나 실현 가능성이 매우 낮은 취약점 (Very minor impact or low probability of exploitation)

Bounty Exclusions

보상 대상에서 제외되는 경우:

버그 리포트 제출 시점에 취약점이 재현되지 않는 경우 (Vulnerability cannot be reproduced at time of submission)
취약점이 재현되더라도 Theori 내부에서 해당 취약점에 대한 인지를 하고 있는 경우 (Theori already aware of the vulnerability internally - Theori will provide explanation and timeline)
취약점 증명 이외에 불필요한 행위를 통해 민감 정보를 획득한 경우 (Obtaining sensitive information through unnecessary actions beyond PoC)
타 제보자가 먼저 제보한 취약점 (Vulnerability reported by another researcher first)
취약점의 증명 없이 가능성만을 제시한 경우 (Only presenting possibility without proof)

Additional Terms and Disclosure Policy

서비스에 무리를 줄 수 있는 과도한 자동화 도구 사용, 더미 데이터 생성시 포상에서 제외될 수 있습니다. (Excessive automation tools or dummy data generation that may impact service may be excluded from bounty)
PatchDay 서비스를 통해 취약점 내용이 공개되기 전, 제보자가 취약점 내용을 외부에 유출 시 PatchDay는 해당 제보자를 포상금 지급 대상에서 제외 할 수 있습니다. (If researchers disclose vulnerability details externally before official PatchDay disclosure, they may be excluded from bounty payment)

Contact

기타 문의 사항은 [email protected] 으로 문의 부탁드립니다.

Note: 이메일에 취약점의 일부, 상세 내용이 포함되어서는 안됩니다. (Do not include any portion or detailed description of vulnerabilities in emails)

PatchDay Bug Bounty Program

PatchDay, a bug bounty platform created by leading cybersecurity R&D startup Theori, brings together companies and security experts to create a safer digital world.

PatchDay 플랫폼의 보안 취약점을 조기에 발굴해 보다 안전한 버그바운티 운영 환경을 만드는 것을 목표로 합니다.

Submission Requirements

보고서에는 다음과 같은 항목이 포함되어야 합니다:

취약점 요약, 개요 (Vulnerability summary and overview)

취약점 상세 (Vulnerability details)

취약점 상세 설명 (Detailed description)

Proof-of-concept 코드 (PoC code)

예상되는 버그 원인 (Optional - Expected bug cause)

해결 방법 (Optional - Resolution method)

Severity

Amount

Critical

200만원

High

100만원

Medium

50만원

Low

10만원

None

0원

Out of Scope Vulnerabilities

The following are excluded from vulnerability consideration:

보안관련 헤더 (Mitigation) 부재 리포트 (Missing security headers/mitigation reports)

인지하고 관리 중인 Risk (Risks already known and managed)

Open Redirect

Self XSS

FE에서의 Sentry, GA, Kakao, Clarity API Key 노출 (API key exposure from FE services)

피해가 매우 경미하거나, 파급도나 실현 가능성이 매우 낮은 취약점 (Very minor impact or low probability of exploitation)

Bounty Exclusions

보상 대상에서 제외되는 경우:

버그 리포트 제출 시점에 취약점이 재현되지 않는 경우 (Vulnerability cannot be reproduced at time of submission)

취약점이 재현되더라도 Theori 내부에서 해당 취약점에 대한 인지를 하고 있는 경우 (Theori already aware of the vulnerability internally - Theori will provide explanation and timeline)

취약점 증명 이외에 불필요한 행위를 통해 민감 정보를 획득한 경우 (Obtaining sensitive information through unnecessary actions beyond PoC)

타 제보자가 먼저 제보한 취약점 (Vulnerability reported by another researcher first)

취약점의 증명 없이 가능성만을 제시한 경우 (Only presenting possibility without proof)

Additional Terms and Disclosure Policy

서비스에 무리를 줄 수 있는 과도한 자동화 도구 사용, 더미 데이터 생성시 포상에서 제외될 수 있습니다. (Excessive automation tools or dummy data generation that may impact service may be excluded from bounty)

PatchDay 서비스를 통해 취약점 내용이 공개되기 전, 제보자가 취약점 내용을 외부에 유출 시 PatchDay는 해당 제보자를 포상금 지급 대상에서 제외 할 수 있습니다. (If researchers disclose vulnerability details externally before official PatchDay disclosure, they may be excluded from bounty payment)