다음 사항을 요청드립니다:

- 개인 계정만 사용하시고, 다른 사용자나 계정을 대상으로 하지 마십시오.

- 보안 테스트 중 개인정보 침해, 사용자 경험 저하, 운영 시스템 장애, 데이터 파괴를 피하기 위해 모든 노력을 기울여 주십시오.

- 발견 사항을 bugbounty@coupang.com으로 이메일로 보내주시기 바랍니다. 필요 시 민감한 세부 정보를 안전하게 공유할 수 있는 지침을 제공하겠습니다.

- 문제를 재현할 수 있는 충분한 정보를 포함해 주십시오(예: 영향을 받는 시스템 IP 또는 URL, 귀하의 IP 주소, 명확한 취약점 설명). 복잡한 문제는 추가 세부 정보가 필요할 수 있습니다.

- 발견한 취약점이나 문제를 악용하지 마십시오. 예를 들어, 취약점을 입증하기 위해 필요한 범위를 넘어 데이터를 다운로드하거나 타인의 데이터를 삭제·수정하지 마십시오.

- 발견한 취약점에 대한 정보를 기밀로 유지하고, 문제가 해결될 때까지 다른 사람에게 공개하지 마시며, 연구 중 획득한 민감한 데이터는 삭제해 주십시오.

- 물리적 보안 침해, 사회공학, DoS/DDoS, 스팸, 제3자 애플리케이션 공격과 같은 행위는 수행하지 마십시오. 이러한 범주는 본 VDP 프로그램의 범위에서 제외됩니다.

- 자동화된 스캐닝 도구 사용을 피하십시오. 해당 활동은 IP 차단 또는 당국에 보고될 수 있습니다.

- 보고 시 취약점의 악용 가능성과 보안 영향을 고려해 주십시오. 보고는 인증 우회, 무단 데이터 접근, 데이터 수정, 원격 코드 실행 등 중대한 취약점으로 제한해 주십시오.

쿠팡의 약속:

- 영업일 기준 3일 이내에 평가 및 예상 해결 일정을 회신하겠습니다.

- 해결 일정 및 관련 어려움에 대해 투명성을 유지하겠습니다.

- 해결 완료 시까지 진행 상황을 알려드리겠습니다.

- 취약점이 이전에 알려지지 않았거나 보고되지 않은 경우, 귀하의 요청이 없는 한 공개에 대해 공로를 인정하겠습니다.

- 귀하가 본 지침을 준수하고 선의로 행동하는 경우, 귀하의 보고와 관련하여 법적 조치를 취하지 않겠습니다.

쿠팡은 문제를 신속히 해결하기 위해 노력하며, 본 절차를 준수해 주시는 연구자 및 사용자 여러분의 협조에 감사드립니다.

Coupang is committed to safeguarding the information entrusted to us by customers, suppliers, vendors, and partners. Our internal and external security teams work diligently to protect this data. We also recognize the valuable role that security researchers and users play in strengthening our security posture. To ensure responsible disclosure, please follow the guidelines listed below.

We request you to:

• Use only your personal accounts; do not target other users or accounts.
• Make every effort to avoid privacy violations, degradation of user experience, disruption to production systems, and destruction of data during security testing.
• Email your findings to bugbounty@coupang.com. We will provide instructions for securely sharing sensitive details if needed.
• Include sufficient information to reproduce the issue (e.g., affected system IP or URL, your IP address, and a clear vulnerability description). Complex issues may require additional details.
• Don’t take advantage of the vulnerability or problem you have discovered, for example by downloading more data than necessary to demonstrate vulnerability or deleting or modifying other people's data.
• Keep information about any vulnerabilities you’ve discovered confidential, do not reveal the problem to others until it has been resolved and remove any sensitive data that you may have obtained during your research.
• Do not perform attacks such as physical security breaches, social engineering, DoS/DDoS, spam, or targeting third-party applications. Those categories are out of scope of this VDP program.
• Avoid automated scanning tools; such activity may result in IP blocking or reporting to authorities.
• When reporting, consider exploitability and security impact. Limit reports to significant vulnerabilities (e.g., authentication bypass, unauthorized data access, data modification, remote code execution).

Coupang commits to:

• Respond within 3 business days with an evaluation and estimated resolution timeline.
• Maintain transparency regarding remediation timelines and any challenges.
• Keep you informed of progress until resolution.
• Credit you for the disclosure (unless you request otherwise), provided the vulnerability was not previously known or reported.
• If you follow these guidelines and act in good faith, we will not pursue legal action regarding your report.

Coupang strives to resolve issues promptly and appreciates the cooperation of researchers and users in adhering to this process.