服務條款

Bitget外部威脅情報處理標準

2019-09-07 03:050129

Bitget全球站用戶:

以下是Bitget外部威脅情報處理標準,請認真閱讀。

適用範圍

本流程適用於Bitget安全響應中心(security@bitget.com)所收到的所有情報。

實施日期

本文檔自發布之日起實行。

基本原則

1. Bitget非常重視自身產品和業務的安全問題,我們承諾,對每一位報告者反饋的問題都有專人進行跟進、分析和處理,並及時給予答复。

2. Bitget支持負責任的漏洞披露和處理過程,我們承諾,對於每位恪守白帽子精神,保護用戶利益,幫助Bitget提升安全質量的用戶,我們將給予感謝和回饋。

3. Bitget反對和譴責一切以漏洞測試為藉口,利用安全漏洞進行破壞、損害用戶利益的黑客行為,包括但不限於利用漏洞盜取用戶隱私及虛擬財產、入侵業務系統、竊取用戶數據、惡意傳播漏洞等。

4. Bitget反對和譴責一切利用安全漏洞恐嚇用戶、攻擊競爭對手的行為。

5. Bitget認為每個安全漏洞的處理和整個安全行業的進步,都離不開各方的共同合作。希望企業、安全公司、安全組織、安全研究者一起加入到“負責任的漏洞披露”過程中來, 一起為建設安全健康的互聯網而努力。

威脅情報反饋與處理流程

[ 報告階段 ]
威脅情報報告者通過Bitget威脅情報接收郵箱(security@bitget.com)反饋威脅情報。

[ 處理階段 ]
1. 一個工作日內,Bitget安全應急響應中心(以下簡稱 BGSRC)工作人員會確認收到的威脅情報報告並跟進開始評估問題(狀態:審核中)。

2. 三個工作日內,BGSRC工作人員處理問題、給出結論併計分(狀態:已確認/已忽略)。必要時會與報告者溝通確認,請報告者予以協助。

[ 修復階段 ]
1. 業務部門修復威脅情報中反饋的安全問題並安排更新上線(狀態:已修復)。修復時間根據問題的嚴重程度及修復難度而定,一般來說,嚴重和高風險問題 24小時內,中風險三個工作日內,低風險七個工作日內。客戶端安全問題受版本發布限制,修復時間根據實際情況確定。

2. 威脅情報報告者復查安全問題是否修復(狀態:已復查/複查異議)。

[ 完成階段 ]
1. BGSRC每月第一周內,發布上月威脅情報處理公告,向上月的威脅情報報告者致謝並公佈威脅情報處理情況;嚴重或重大影響威脅情報會單獨發布緊急安全公告。

2. 威脅情報報告者可以使用積分兌換安全幣,通過安全幣置換現金或現價對等的平台貨幣,置換完成後,BGSRC為威脅情報報告者發出獎勵;同時不定期也會有獎勵及線下活動。

威脅情報評分標準

Bitget威脅情報主要包含內容:自身業務的漏洞及安全情報。下面我們將分別描述其評分標準。

業務漏洞評分標準

根據漏洞危害程度分為嚴重、高、中、低、無五個等級,每個等級評分如下:

[ 嚴 重 ]
分值範圍 9-10,安全幣 1080~1200。

本等級包括:

1. 直接獲取權限的漏洞(服務器權限、重要產品客戶端權限)。包括但不限於遠程任意命令執行、上傳webshel​​l、可利用遠程緩衝區溢出、可利用的ActiveX堆棧溢出、可利用瀏覽器use after free 漏洞、可利用遠程內核代碼執行漏洞以及其它因邏輯問題導致的可利用的遠程代碼執行漏洞。

2. 直接導致嚴重的信息洩漏漏洞。包括但不限於重要 DB的 SQL 注入漏洞。

3. 直接導致嚴重影響的邏輯漏洞。包括但不限於偽造任意ID發送消息漏洞, 偽造任意ID彈任意 TIPS給任意用戶漏洞,任意帳號密碼更改漏洞。

[ 高 ]
分值範圍 6-8,安全幣 360~480(兌換安全幣係數:Web/服務器 60 ; PC 客戶端/移動終端 60 )

本等級包括:

1. 能直接盜取用戶身份信息的漏洞。包括重要業務(如bitget主站)的重點頁面的存儲型XSS漏洞、普通站點的 SQL 注入漏洞。

2. 越權訪問。包括但不限於敏感管理後台登錄。

3. 高風險的信息洩漏漏洞。包括但不限於可直接利用的敏感數據洩漏。

4. 本地任意代碼執行。包括但不限於本地可利用的堆棧溢出、UAF、doublefree、format string、本地提權、文件關聯的DLL 劫持(不包括加載不存在的DLL 文件及加載正常D LL 未校驗合法性)以及其它邏輯問題導致的本地代碼執行漏洞。

5. 直接獲取客戶端權限的漏洞。包括但不限於遠程任意命令執行、遠程緩衝區溢出、可利用的 ActiveX堆棧溢出、瀏覽器 use after free 漏洞、遠程內核代碼執行漏洞以及其它因邏輯問題導致的遠程代碼執行漏洞。

6. 可獲取敏感信息或者執行敏感操作的重要客戶端產品的 XSS漏洞。

[ 中 ]
分值範圍 3-5,安全幣 45~75(兌換安全幣係數:Web/服務器 15 ; PC 客戶端/移動終端 15 )

等級包括:

1. 需交互才能獲取用戶身份信息的漏洞。包括但不限於反射型 XSS(包括反射型 DOM-X SS)、JSONHijacking、重要敏感操作的 CSRF、普通業務的存儲型 XSS

2. 遠程應用拒絕服務漏洞、敏感信息洩露、內核拒絕服務漏洞、可獲取敏感信息或者執行敏感操作的客戶端產品的 XSS漏洞

3. 普通信息洩漏漏洞。包括但不限於客戶端明文存儲密碼、包含敏感信息的源代碼壓縮包洩漏

[ 低 ]
分值範圍 1-2,安全幣 9~18(兌換安全幣係數:Web/服務器 9 ; PC 客戶端/移動終端 9 )

本等級包括:

1. 只在特定非流行瀏覽器環境下(如 IE6等)才能獲取用戶身份信息的漏洞。包括但不限於反射型XSS(包括反射型DOM-XSS)、普通業務的存儲型 XSS 等。

2. 輕微信息洩漏漏洞。包括但不限於路徑洩漏、SVN文件洩漏、phpinfo、logcat敏感信息洩漏。

3. PC客戶端及移動客戶端本地拒絕服務漏洞。包括但不限於組件權限導致的本地拒絕服務漏洞。

4. 越權訪問。包括但不限於繞過客戶端主動防禦,Bitget URL跳轉漏洞、繞過Bitget惡意網址檢測機制的第三方 URL 跳轉(注:跳轉到正常網站的不屬於跳轉漏洞)。

5. 難以利用但又可能存在安全隱患的問題。包括但不限於可能引起傳播和利用的 Self-XS S、非重要的敏感操作 CSRF以及需借助中間人攻擊的遠程代碼執行漏洞並提供了有效 P oC。

[ 無 ]
分值範圍 0(兌換安全幣係數:Web/服務器 0 ; PC 客戶端/移動終端 0 )

本等級包括:

1. 無關安全的 bug。包括但不限於網頁亂碼、網頁無法打開、某功能無法用。

2. 無法利用的“漏洞”。包括但不限於沒有實際意義的掃描器漏洞報告(如WebServer 的低版本)、Self-XSS、無敏感信息的JSON Hijacking、無敏感操作的CSRF(如收藏、添加購物車、非重要業務的訂閱、非重要業務的普通個人資料修改等)、無意義的源碼洩漏、內網IP 地址/域名洩漏、401 基礎認證釣魚、程序路徑信任問題、無敏感信息的logcat 信息洩漏。

3. 無任何證據的猜測。

4. 非Bitget業務漏洞。

評分標準如下
mceclip1.png

安全情報評分標準

安全情報是指Bitget的產品和業務漏洞相關的情報,包括但不限於漏洞線索、攻擊線索、攻擊相關信息、攻擊方式、攻擊技術等。根據危害及情報提供情況詳細評分標準如下表:

mceclip3.png

評分標准通用原則

1. 評分標準僅針對對Bitget產品和業務有影響的威脅情報。域名包括但不限於*.bitget.com,服務器包括Bitget運營的服務器,產品為Bitget發布的客戶端產品。對Bitget業務安全無影響的威脅情報,不計分。

2. 重要客戶端產品是指Bitget客戶端產品。

3. 對於非Bitget直接發布的產品和業務或是Bitget開放平台的第三方應用威脅情報,均不計分。

4. 對於第三方庫(比如libpng、zlib、libjpeg 等等)導致的客戶端漏洞(包括PC 和移動端),且可以通過升級或者更換第三方庫可完成修復的漏洞,僅給首個漏洞報告者計分。同時, 從 BGSRC 獲取首個漏洞的反饋時間到第三方首個修復版本發佈時間的日期內,對於同一類漏洞均按一個漏洞計分,危害等級取危害最大的一個漏洞來評定。

5. 對於移動終端系統導致的通用型漏洞,比如 webkit的 uxss、代碼執行等等,僅給首個漏洞報告者計分,對於其它產品的同個漏洞報告,均不再另外計分。

6. 由於客戶端漏洞審核本身比較複雜並且涉及到其它的開發部門,審核時間可能較WEB 漏洞長,有時可能由於報告者提供的漏洞細節不夠詳盡,導致BGSRC無法按原定時間內給出結論,請各位白帽子理解。因此請各位白帽子在反饋漏洞時提供 poc/exploit,並提供相應的漏洞分析,以加快管理員處理速度,對於 poc 或 exploit 未提供或者沒有詳細分析的漏洞提交將可能直接影響評分。

7. 如果同一時間週期內提交同一客戶端的多個漏洞,請報告者在反饋漏洞時明確給出導致漏洞和触發漏洞的關鍵代碼,以幫助快速確認是否為相同漏洞,加快漏洞確認時間。

8. 對於第三方通用型漏洞導致的安全問題,依據通用漏洞獎勵標準。

9. 威脅情報報告者復查安全問題時如果發現安全問題仍然存在或未修復好,當作新威脅情報繼續計分。

10. 同一條威脅情報,第一個報告者得分,其他報告者不得分;提交網上已公開的威脅情報不計分。

11. 拒絕無實際危害證明的掃描器結果。

12. 以安全測試為藉口,利用情報信息進行損害用戶利益、影響業務正常運作、修復前公開、盜取用戶數據等行為的,將不會計分,同時Bitget保留採取進一步法律行動的權利。

獎勵發放原則

[ 常規獎勵 ]
1. 獎品使用安全幣(BGSRC的一種虛擬貨幣)兌換,安全幣數量由威脅情報的評分乘以相應危害等級係數而得,危害等級係數參考“威脅情報評分標準”章節(該係數會根據實際情況調整,每次調整會公告發布)。多個威脅情報產生的安全幣可累加,除非特別聲明,未使用的安全幣不會過期。

2. 漏洞獎勵處理標準的解釋權歸Bitget安全部⻔所有。

爭議解決辦法

在威脅情報處理過程中,如果報告者對處理流程、威脅情報評定、威脅情報評分等具有異議的,請通過當前威脅情報郵箱及時溝通。 Bitget安全應急響應中心將根據威脅情報報告者利益優先的原則進行處理,必要時可引入外部人士共同裁定。

FAQ

Q:BGSRC 的 1 安全幣相當於多少人民幣?
A:根據業界獎勵標準,當前 BGSRC 1 安全幣大約相當於 5 元人民幣

Q:在Bitget收到威脅情報反饋後的威脅情報會公開嗎?
A:為了保護用戶利益,在威脅情報反饋的安全問題修復前,威脅情報相關信息均不會公開。安全問題修復後,威脅情報報告者可以公開。本著“授人以魚不如授人以漁”的考慮,BGSRC 建議威脅情報報告者將威脅情報相關技術進行歸類和總結,以技術文章的方式公開

Q:BGSRC 與其他安全團體的關係是如何的?
A:Bitget安全離不開業界的支持與幫助,BGSRC 願意與各個安全團體深度合作,共同推動安全行業的健康發展。目前 BGSRC 已經與一些安全團體展開了合作,未來將有更多合作

Q:Bitget有沒有先“忽略”漏洞然後偷偷修復?
A:絕對不會。提交的“漏洞”一旦進入“忽略”狀態,跟進同事會在評論中留下忽略的原因。常見情況是這個“漏洞”不認為是漏洞而被評估為一個bug,BGSRC 僅知會相關產品同事,是否更改這個“bug”由產品同事決定;另外一種情況是業務本身的變動,導致“漏洞” 不復存在。但是不論如何,Bitget方面都不會“偷偷修復漏洞”。

Bitget團隊

【聯繫我們】

客戶服務:support@bitget.com

商務合作:BD@bitget.com

量化做市場合作:partnership@bitget.com

【官方渠道】

Telegram

Twitter

Facebook

Youtube

Medium

Reddit

Linkedin

Instagram

【收錄平台】

CMC

CoinGecko

Cryptoadventure

風險提示:數字貨幣是一種高風險的投資方式,請投資者謹慎購買,並註意投資風險。 Bitget會遴選優質幣種,但不對投資行為承擔擔保、賠償等責任。數字資產合約交易是創新的產品,風險較高,專業性較強。請您理性判斷自己的投資能力,審慎做出投資決策。