Hizmet şartları

Bitget Harici Tehdit İstihbarat İşleme Standardı

2019-09-07 03:050100

Değerli Bitget kullanıcıları:

Lütfen Bitget Harici Tehdit İstihbarat İşleme Standardını dikkatlice okuyun.

Uygulama Kapsamı

Bu işlem Bitget Güvenlik Cevap Merkezi (security@bitget.com) tarafından alınan tüm istihbaratlar için geçerlidir.

Uygulama Tarihi

Bu belge yayımı tarihi itibariyle uygulanmaya başlamıştır.

Temel İlke

  1. Bitget, ürün ve hizmetlerinin güvenliğine büyük önem vermektedir. Her raportörden gelen tüm geri bildirimlerin takip edileceğini, analiz edileceğini ve işleneceğini ve derhal yanıtlanacağını vaat ediyoruz.
  2. Bitget, sorumlu güvenlik açığının açıklanmasını ve işlenmesini destekler. Beyaz şapka ruhunu koruyan, kullanıcıların çıkarlarını koruyan ve Bitget'in güvenliği ve kalitesini artırmasına yardımcı olan her kullanıcıya teşekkür ve geri bildirimde bulunacağımıza söz veriyoruz.
  3. Bitget, kullanıcı gizliliğini ve sanal mülkiyeti çalmak için güvenlik açıklarından yararlanma, iş sistemlerini istila etme, kullanıcı verilerini çalma ve güvenlik açıklarından kötü niyetli olarak yararlanma vb. dahil ancak bunlarla sınırlı olmamak üzere, güvenlik açıklarından yararlanarak kullanıcılara zarar vermek veya zarar vermek için bir bahane olarak güvenlik açığı testini kullanan, tüm bilgisayar korsanlığı davranışlarına karşı çıkar ve bunları kınar.
  4. Bitget, kullanıcıları korkutmak ve rakiplere saldırmak için güvenlik açıklarının tüm kullanımına karşı çıkar ve kınar.
  5. Bitget, her bir güvenlik açığının ele alınmasının ve tüm güvenlik endüstrisinin ilerlemesinin tüm tarafların işbirliğiyle olacağına inanmaktadır. İşletmelerin, güvenlik şirketlerinin, güvenlik kuruluşlarının ve güvenlik araştırmacılarının, güvenli ve sağlıklı bir İnternet oluşturmak için birlikte çalışmak üzere "sorumlu güvenlik açığı ifşası" sürecine katılmalarını ummaktadır.

Tehdit İstihbaratı Geri Bildirimi ve Processing

[Raporlama Aşaması]

Tehdit istihbaratı raportörleri, Bitget tehdit istihbaratı alan posta kutusu (security@bitget.com) aracılığıyla tehdit istihbaratını geri bildirimde bulunur.

[İşlem Aşaması]

  1. Bir iş günü içinde, Bitget Güvenlik Acil Müdahale Merkezi (BGGMM) personeli, sorunun değerlendirilmesine başlamak için alınan tehdit istihbaratı raporunu onaylayacak ve takip edecektir (durum: inceleme).
  2. Üç iş günü içinde, BGGMM personeli sorunu ele alır, bir sonuç ve puan verir (durum: onaylandı/ignored). Gerektiğinde, BGGMM personeli raportörle iletişim kurarak bilgileri teyit edecek ve raportörden yardımcı olmasını isteyecektir.

[Onarım Aşaması]

  1. Departman, tehdit istihbaratındaki güvenlik sorunlarını giderir ve güncellemeyi canlı yayına geçecek şekilde planlar (durum:düzeltme). Onarım süresi, sorunun ciddiyetine ve onarımın zorluğuna bağlıdır. Genel olarak konuşursak, 24 saat içinde ciddi ve yüksek riskli sorunlar, üç iş günü içinde orta risk, yedi iş günü içinde düşük riskli sorunlar giderilir. İstemci güvenlik sorunları versiyon sürümüyle sınırlıdır ve onarım süresi gerçek koşullara göre belirlenir.
  2. Tehdit istihbaratı raportöri, güvenlik sorununun giderilip giderilmediğini inceler (durum: gözden geçirilmiş/incelenmiş itiraz).

[Tamamlanma Aşaması]

  1. BGGMM, her ayın ilk haftasında geçen ayın tehdit istihbaratı işleme duyurusunu yayınlayacaktır. Bir önceki ayki tehdit istihbaratı raportörlerinin, ele alma durumuna teşekkür edecek ve duyuracak; kritik veya büyük etki tehdit bilgileri için ayrı ayrı bir acil güvenlik duyurusu yayınlayacaktır.
  2. Tehdit istihbaratı raportörleri, nakit veya platform tokeninin değiştirilmesi amacıyla güvenlik koinlerini kullanmak için puan kullanabilirler. Değiştirme tamamlandıktan sonra BGGMM tehdit istihbaratı raportörlerini ödüllendirecek ve ara sıra ödüller ve toplantı aktiviteleri olacak.

Tehdit İstihbaratı Puanlama Standardı

Bitget tehdit istihbaratı esas olarak şunları içerir: Bitget'in işinin güvenlik açıkları ve güvenlik zekası. Aşağıda puanlama kriterlerini ayrı ayrı açıklayacağız.

Business Güvenlik Açığı Puanlama Standardı

Güvenlik açığı derecesine göre, beş seviyeye ayrılmıştır: şiddetli, yüksek, orta, düşük ve hayır. Her düzeyin derecelendirmesi aşağıdaki gibidir:

[Şiddetli]

Puan aralığı 9-10 ve güvenlik koin aralığı 1080 ~ 1200'dür.

Bu düzey şunları içerir:

  1. Güvenlik açığına doğrudan erişim (sunucu izinleri, önemli ürün istemci izinleri). Uzaktan rasgele komut yürütme, web kabuğu yükleme, istismar edilebilir uzak arabellek taşması, kullanılabilir ActiveX yığın taşması, kullanılabilir tarayıcı "ücretsiz sonra kullanım" güvenlik açıkları, uzak çekirdek koduyla kötüye kullanılabilir açıklardan yararlanmalar ve mantıksal sorunların neden olduğu diğer istismarlar edilebilir uzaktan kod yürütme güvenlik açıklarını içerir, ancak bunlarla sınırlı değildir.
  2. Doğrudan ciddi bir bilginin açığa çıkmasına neden olan bir güvenlik açığı. Önemli DB’ler için SQL ekleme güvenlik açıklarını içerir, ancak bunlarla sınırlı değildir.
  3. Doğrudan ciddi etkiye neden olan mantıksal bir güvenlik açığı. Mesaj güvenlik açıklarını göndermek için rastgele kimlik sahteciliği, herhangi bir kullanıcı güvenlik açığına karşı herhangi bir TIPS'e herhangi bir kimlik bombası sahteciliği, herhangi bir hesap parolası değişikliği güvenlik açığı dahildir, ancak bunlarla sınırlı değildir.

[Yüksek]

Puan aralığı 6-8, güvenlik koin aralığı 360 ~ 480 (değişim güvenlik koin katsayısı: Web / sunucu 60; PC c/mobil terminal 60)

Bu düzey şunları içerir:

  1. Kullanıcı kimlik bilgilerini doğrudan çalabilen bir güvenlik açığı. Dahil: önemli hizmetlerin önemli sayfalarındaki depolama XSS güvenlik açıkları (Bitget master gibi), ortak sitelerdeki SQL ekleme güvenlik açıkları.
  2. Aşırı erişim. Hassas yönetim arka plan girişlerini içerir, ancak bunlarla sınırlı değildir.
  3. Yüksek riskli bilgi ifşası güvenlik açıkları. Doğrudan kullanılabilir hassas veri sızıntılarını içerir, ancak bunlarla sınırlı değildir.
  4. Yerel rasgele kod yürütme. Yerel olarak kullanılabilir yığın taşması, UAF, doublefree, format dizesi, yerel ayrıcalık, dosya ilişkili DLL ele geçirme (varolmayan DLL dosyalarını yükleme ve normal DLL denetlenmeyen meşruiyet yükleme hariç) ve mantık sorununun neden olduğu diğer yerel kod yürütme güvenlik açıklarını içerir, ancak bunlarla sınırlı değildir.
  5. İstemci izinlerini doğrudan almak için güvenlik açıkları. Uzaktan rasgele komut yürütme, uzaktan arabellek taşmaları, kullanılabilir ActiveX yığın taşmaları, ücretsiz güvenlik açıklarından sonra tarayıcı kullanımı, uzak çekirdek kodu yürütme güvenlik açıkları ve mantıksal sorunların neden olduğu diğer uzaktan kod yürütme güvenlik açıklarını içerir, ancak bunlarla sınırlı değildir.
  6. Hassas bilgiler alan veya hassas işlemler gerçekleştiren kritik istemci ürünleri için XSS güvenlik açıkları.

[Orta]

Puan aralığı 3-5, güvenlik koin aralığı 45 ~ 75 (değişim güvenlik koin katsayısı: Web/sunucu 15; PC c/mobil terminal 15)

Bu düzey şunları içerir:

  1. Kullanıcı kimlik bilgilerini elde etmek için etkileşim gerektiren bir güvenlik açığı. Yansıtıcı XSS (yansıtıcı DOM-X SS dahil), JSON Hijacking, önemli hassas işlemler için CSRF, genel hizmetler için depolama XSS içerir, ancak bunlarla sınırlı değildir.
  2. Uzaktan uygulama hizmet reddi güvenlik açığı, hassas bilgilerin açığa çıkması, çekirdek hizmet reddi güvenlik açığı, hassas bilgileri edinebilen veya hassas işlemler gerçekleştirebilen istemci ürünleri için XSS güvenlik açığı.
  3. Genel bilginin açığa çıkması güvenlik açığı. İstemci düz metin depolama parolalarını, hassas bilgiler içeren kaynak kodu sıkıştırma paketi sızıntılarını içerir, ancak bunlarla sınırlı değildir.

[Düşük]

Puan aralığı 1-2, güvenlik koin aralığı 9 ~ 18 (değişim güvenlik koin katsayısı: Web/sunucu 9; PC c/mobil terminal 9)

Bu düzey şunları içerir:

  1. Kullanıcı kimliği bilgilerindeki güvenlik açıkları yalnızca popüler olmayan belirli tarayıcı ortamlarında (IE6 gibi) elde edilebilir. Yansıtıcı XSS (yansıtıcı DOM-XSS dahil), genel hizmetler için depolama XSS vb. içerir, ancak bunlarla sınırlı değildir.
  2. Küçük bilginin açığa çıkması güvenlik açığı. Yol sızıntıları, SVN dosya sızıntıları, phpinfo, logcat hassas bilgi sızıntılarını içerir, ancak bunlarla sınırlı değildir.
  3. BILGISAYAR istemcisi ve mobil istemci yerel hizmet reddi güvenlik açığı. Bileşen izinlerinin neden olduğu yerel hizmet reddi güvenlik açıklarını içerir, ancak bunlarla sınırlıdeğildir.
  4. Yetkisiz erişim. İstemci proaktif savunmasını, Bitget URL atlama güvenlik açıklarını ve Bitget kötü amaçlı URL algılama mekanizmasını atlayan üçüncü taraf URL atlamalarını içerir, ancak bunlarla sınırlı değildir (Not: Normal bir web sitesine atlamak jump güvenlik açığı değildir).
  5. Kullanımı zor ancak potansiyel bir güvenlik tehlikesine yol açabilecek sorunlar. Yayma ve sömürüye, kritik olmayan hassas işlemlere, CSRF'ye ve ortadaki adam saldırıları gerektiren ve etkili P oC sağlayan uzaktan kod yürütme güvenlik açıklarına neden olabilecek Self-XS S'i içerir, ancak bunlarla sınırlı değildir.

[Yok]

Puan aralığı 0 (değişim güvenlik koin katsayısı: Web/sunucu 0; PC c/mobil terminal 0)

Bu düzey şunları içerir:

  1. İlişkisiz güvenlik hataları. Bozulmuş web sayfası dâhil ancak bunlarla sınırlı olmamak üzere, web sayfaları açılamaz ve bir özellik kullanılamaz.
  2. Yararlanılamayan "Güvenlik Açıkları". Bu, anlamlı olmayan tarayıcı güvenlik açığı raporlarını (Web Sunucusunun alt sürümleri gibi), Self-XSS, hassas bilgiler olmadan JSON Hijacking, hassasiyet işlemleri olmadan CSRF (sık kullanılanlar, alışveriş sepetleri ekleme, abonelikler gibi) içerir, ancak bunlarla sınırlı değildir. kritik olmayan hizmetler, kritik olmayan iş sıradan kişisel veri değişikliği vb.), anlamsız kaynak kodu sızıntısı, intranet IP adresi/etki alanı adı sızıntısı, 401 temel kimlik doğrulama kimlik avı, program yolu güven sorunu, hassas bilgiler olmadan logcat bilgi sızıntısı.
  3. Kanıt tahmini yok.
  4. Bitget dışı iş güvenlik açıkları.

Derece ölçütleri aşağıdaki gibidir:

Güvenlik İstihbaratı Puanlama Standardı

Güvenlik zekası, güvenlik açığı ipuçları, saldırı ipuçları, saldırıyla ilgili bilgiler, saldırı yöntemleri ve saldırı teknolojileri dahil ancak bunlarla sınırlı olmamak üzere Bitget'in ürünleri ve iş açıklarıyla ilgili bilgileri ifade eder. Sağlanan tehlike ve bilgilere göre ayrıntılı puanlama standartları aşağıdaki gibidir:

Puanlama Standartlarının Genel Prensibi

  1. Puanlama kriterleri yalnızca bitget ürün ve hizmetlerini etkileyen tehdit istihbaratı içindir. Etki alanı adı *.bitget.com içerir, ancak bunlarla sınırlı değildir, sunucu Bitget tarafından işletilen sunucuyu içerir ve ürün Bitget tarafından yayımlanan istemci ürünüdür. Bitget iş güvenliği üzerinde hiçbir etkisi olmayan tehdit istihbaratı sayılmaz.
  2. Önemli müşteri ürünleri Bitget istemci ürünleridir.
  3. Bitget veya Bitget açık platformunun üçüncü taraf uygulama tehdit istihbaratı tarafından doğrudan piyasaya sürülmeyen ürün ve hizmetler için puan alınmaz.
  4. Üçüncü taraf kitaplıkların neden olduğu istemci güvenlik açıkları (PC'ler ve cep telefonları dahil) (libpng, zlib, libjpeg, vb. gibi) ve üçüncü taraf kitaplıkları yükselterek veya değiştirerek düzeltilebilen güvenlik açıkları için, yalnızca ilk güvenlik açığı geriye dönük olarak puanlanır. Aynı zamanda, BGGMM tarafından elde edilen ilk güvenlik açığının geri bildirim zamanından üçüncü tarafın ilk sabit sürümünün yayımlandığı tarihe kadar, aynı güvenlik açığı türü tek bir güvenlik açığı olarak puanlanır; tehlike seviyesi en zararlı güvenlik açığı ile değerlendirilir.
  5. Webkit uxss, kod yürütme gibi mobil terminal sistemlerinden kaynaklanan genel amaçlı güvenlik açıkları için, yalnızca ilk güvenlik açığı raportöri puanlanır ve diğer ürünleri için aynı güvenlik açığı raporu artık ayrı olarak puanlanmaz.
  6. İstemci güvenlik açığı denetimi karmaşık olduğundan ve diğer geliştirme departmanlarını içerdiğinden, denetim süresi WEB güvenlik açığından daha uzun olabilir. Bazen raportör tarafından sağlanan güvenlik açıklarının ayrıntıları yeterince ayrıntılı değildir, bu da BGGMM'nin orijinal zaman içinde sonuç verememesine neden olabilir. Lütfen bunu anlayışla karşılayın. Bu nedenle, geri bildirim güvenlik açığı sağlandığında lütfen bir poc/exploit sağlayın ve yönetici işlemini hızlandırmak için karşılık gelen bir güvenlik açığı analizi sağlayın. Poc veya exploit tarafından ayrıntılı olarak sağlanmayan veya analiz edilmemiş güvenlik açığı gönderimleri derecelendirmeyi doğrudan etkileyebilir.
  7. Aynı zaman dilimi içinde aynı istemciye birden fazla güvenlik açığı gönderilirse, lütfen güvenlik açığına neden olan anahtar kodunu açıkça tanımlayın ve güvenlik açığının aynı güvenlik açığı olup olmadığını hızlı bir şekilde doğrulamak ve güvenlik açığı onayını hızlandırmak için güvenlik açığını tetikleyin.
  8. Üçüncü taraf genel güvenlik açıklarından kaynaklanan güvenlik sorunları, genel güvenlik açığı ödül kriterlerine dayanmaktadır.
  9. Bir tehdit istihbaratı raportöri bir güvenlik sorununu incelediğinde, güvenlik sorununun devam ettiğini veya düzeltilmediğini tespit ederse, yeni bir tehdit istihbaratı olarak puan almaya devam edecektir.
  10. Aynı tehdit bilgileri için ilk raportöre puan verilir, diğer raportörler puan almaz; gönderilen tehdit bilgileri için puan alınmaz.
  11. Gerçek hasar kanıtı olmadan tarayıcı sonuçlarını reddedilir.
  12. Kullanıcıların çıkarlarına zarar vermek, işin normal işleyişini etkilemek, onarımdan önce kamuoyunu ifşa etmek, kullanıcılardan veri çalmak vb.amacıyla istihbarat bilgilerini kullanmak için güvenlik testinin bir bahane olarak kullanılması hesaplanmaz ve Bitget daha fazla yasal işlem yapma hakkını saklı tutar.

Ödüllendirme İlkesi

[Düzenli Ödüller]

  1. Ödüller bir güvenlik koini (BGGMM'nin kripto para birimi) kullanılarak bozdurulabilir. Güvenlik koinlerinin sayısı, tehdit istihbaratının puanı ile karşılık gelen tehlike seviyesi faktörü ile çarpılır. Tehlike derecelendirme faktörü "Tehdit İstihbaratı Puanlama Kriterleri" bölümüne atıfta bulunulandır. Katsayı gerçek duruma göre ayarlanacak ve her ayarlama duyurulacaktır. Çoklu tehdit istihbaratları tarafından üretilen güvenlik koinleri biriktirilebilir, aksi belirtilmedikçe kullanılmayan güvenlik koinlerinin süresi dolmaz.
  2. Güvenlik Açığı Ödül İşleme Standardını yorumlama hakkı Bitget Güvenlik Departmanı'na aittir.

Uyuşmazlık Çözümü

Tehdit istihbaratı işleme sürecinde, raportörlerin işlem akışına, tehdit istihbarat değerlendirmesine, tehdit istihbarat puanına vb. itirazları varsa, lütfen mevcut tehdit istihbaratı posta kutusu aracılığıyla zamanında iletişime geçin. Bitget Güvenlik Acil Müdahale Merkezi, tehdit istihbarat raportörlerinin önceliğini ele alacak ve gerekirse ortak karar vermeleri için dış tarafları devreye sokacaktır.

SSS

S: BGGMM'nin 1 güvenlik koini ne kadardır?

C: Sektör ödül kriterlerine göre, mevcut BGGMM 1 güvenlik koini yaklaşık RMB 5'e eşdeğerdir.

S: Bitget tehdit istihbaratı geri bildirimi aldıktan sonraki tehdit bilgileri herkese açık hale gelecek mi?

C: Kullanıcıların çıkarlarını korumak için, tehdit istihbaratı geri bildiriminin güvenlik sorunu düzeltilene kadar tehdit bilgileri kapatılmayacaktır. Güvenlik sorunu giderildikten sonra, tehdit istihbaratı raportörü bunu herkese açık hale getirebilir. BGGMM, tehdit istihbaratı raportörlerinin tehdit istihbaratı ile ilgili teknolojileri kategorize etmelerini, özetlemelerini ve bunları teknik makaleler şeklinde herkese açık hale getirmelerini önerir.

S: BGGMM ve diğer güvenlik grupları arasındaki ilişki nedir?

Y: Bitget güvenliği, sektörün desteğinden ve yardımından ayrı tutulamaz. BGGMM, güvenlik endüstrisinin sağlıklı gelişimini teşvik etmek için çeşitli güvenlik gruplarıyla işbirliği yapmaya hazırdır. Şu anda BGGMM bazı güvenlik gruplarıyla işbirliği yaptı ve gelecekte daha fazla işbirliğine sahip olacak.

S: Bitget önce güvenlik açığını "yok sayacak" ve ardından gizlice düzeltecek mi?

A: Kesinlikle hayır. Gönderilen "güvenlik açıkları" "yoksay" durumuna girdikten sonra, iş arkadaşlarımız tarafından takibe alınacaktır. Yaygın bir durum, bu "güvenlik açığı"nın bir güvenlik açığı olarak kabul olmaması ve hata olarak değerlendirilmesidir. BGGMM yalnızca ilgili ürün meslektaşlarını bilir, bu "hatanın" değiştirilip değiştirilmeyeceği ürün meslektaşları tarafından belirlenir. Diğer bir durum ise işletmenin kendisinde meydana gelen ve "kırılganlıkların" sona ermesine neden olan değişimdir. Ancak ne olursa olsun, Bitget "düzeltmeleri gizlice izlemeyecektir".

【Bize Ulaşın】

Müşteri Hizmetleri: support@bitget.com

Pazarlama İşbirliği: BD@bitget.com

Nicel Piyasa Yapıcı İşbirliği: partnership@bitget.com

【Resmi Kanal】

Resmi Web Sitesi

Twitter

Discord

Resmi İngilizce Telegram Grubu

Linkedin

Reddit

Facebook

Instagram

Youtube

Medium

Bitget’in Yeraldığı Platformlar】

CMC

CoinGecko

Cryptoadventure