Điều khoản Dịch vụ

Tiêu Chuẩn Xử Lý Rủi Ro Bị Lộ Thông Tin Ra Ngoài

2020-12-16 03:230105

Gửi người dùng Bitget:

Vui lòng đọc kỹ Tiêu chuẩn xử lý rủi ro trí tuệ hiểm họa thông tin bên ngoài của Bitget như sau.

Phạm Vi Áp Dụng

Quy trình này được áp dụng cho tất cả thông tin gửi tới Trung Tâm Bảo Mật Bitget (security@bitget.com).

Ngày Thực Hiện

Thông báo này có hiệu lực kể từ ngày được công bố.

Quy Tắc Cơ Bản

1. Bitget đề cao tính bảo mật của các sản phẩm và dịch vụ của mình. Chúng tôi cam kết rằng tất cả các báo cáo từ thành viên sẽ được theo dõi, phân tích, xử lý và phản hồi kịp thời.
2. Bitget hỗ trợ xử lý lỗ hổng một cách có trách nhiệm. Chúng tôi cam kết sẽ cảm ơn và phản hồi tới mọi người dùng, những người có tinh thần đội cao, bảo vệ lợi ích của người dùng và giúp Bitget cải thiện an toàn chất lượng.
3. Bitget phản đối và sẽ tố cáo tất cả các hành vi lạm dụng việc kiểm tra lỗ hổng bảo mật để gây thiệt hại cho người dùng, bao gồm nhưng không giới hạn việc đánh cắp quyền riêng tư và tài sản kỹ thuật số của người dùng, xâm nhập hệ thống kinh doanh, đánh cắp dữ liệu người dùng và khai thác lỗ hổng bảo mật một cách ác ý, v.v...
4. Bitget phản đối và lên án mọi hành vi sử dụng sơ hở bảo mật để đe dọa người dùng và tấn công đối thủ cạnh tranh.
5. Bitget tin rằng sự hợp tác của tất cả các bên trong việc xử lý lỗ hổng bảo mật và sự tiến bộ của toàn bộ ngành bảo mật là không thể tách rời. Hy vọng rằng các doanh nghiệp, công ty bảo mật, tổ chức bảo mật và các nhà nghiên cứu bảo mật sẽ tham gia vào quá trình “tiết lộ lỗ hổng bảo mật có trách nhiệm” để cùng nhau xây dựng một mạng lưới Internet an toàn và lành mạnh.

Quy Trình và Phản Hồi về Mất An Toàn Bảo Mật

[Báo Cáo]

Các báo cáo về rủi ro mất an toàn bảo mật tại Bitget vui lòng email tới security@bitget.com

[Quy Trình Làm Việc]

1. Trong vòng 1 ngày làm việc, nhân viên Trung Tâm Bảo Mật Bitget sẽ xác nhận báo cáo mất an toàn bảo mật đã nhận được và bắt đầu xử lý vấn đề (trạng thái: Đang xử lý)

2. Trong vòng 3 ngày làm việc, nhân viên Trung Tâm Bảo Mật Bitget sẽ xử lý vấn đề, kết luật và đánh giá (trạng thái: Xác nhận/ Không xử lý) Nếu cần thiết, Bitget sẽ liên hệ với người báo cáo để xác minh và nhờ hỗ trợ.

[Khắc Phục]

1. Bộ phận kinh doanh khắc phục lỗi bảo mật và hẹn giờ cập nhật hệ thống (trạng thái: Đã khắc phục). Thời gian sửa chữa tùy vào mức độ khó và phức tạp của lỗ hổng. Nói chung, các lỗi lớn sẽ được khắc phục trong vòng 24 giờ, lỗi thông thường trong 3 giờ, lỗi nhỏ trong 7 ngày làm việc. Sự cố an toàn được giới hạn tùy theo phiên bản, và thời gian khắc phục tùy vào điều kiện thực tế.

2. Sự cố bị báo cáo được khắc phục xong (trạng thái: Đã xong/ Từ chối giải quyết)

[Hoàn Tất]

1. Trung tâm bảo mật sẽ gửi thông báo về quy trình khắc phục sự cố an ninh của tháng trước vào tuần đầu tiên hàng tháng. Những người dùng báo cáo lỗi sẽ cám ơn và cho biết lỗi bảo mật đã được xử lý; những sự cố nghiêm trọng hoặc gây hại lớn sẽ được thông báo riêng.

2. Những người dùng báo cáo lỗi có thể tích điểm để đổi thành hiện kim hoặc xu trên hệ thống. Sau khi thay đổi hoàn tất, trung tâm an ninh sẽ trao thưởng cho người đã báo cáo lỗi; thường sẽ là hiện vật hoặc các cuộc gặp mặt.

Tiêu Chuẩn Đánh Giá Rủi Ro Bảo Mật Thông Tin

Bảo mật thông tin tại Bitget thường gồm: lỗ hổng bảo mật và thông tin kinh doanh. Dưới đây chúng tôi sẽ mô tả riêng các tiêu chí đánh giá.

Tiêu Chuẩn Đánh Giá Lỗ Hổng Kinh Doanh

Được chia làm 5 cấp theo mức độ nghiệm trọng như sau: Rất nghiêm trọng, nghiêm trọng, bình thường, thấp và không nghiêm trọng.

[Rất Nghiêm Trọng]

Thang điểm từ 9-10 và điểm bảo mật từ 1080-1200.

Mức độ này bao gồm:

1. Truy cập trực tiếp lỗ hổng bảo mật (quyền truy cập máy chủ, hay các sản phẩm quan trọng của khách). Bao gồm, nhưng không giới hạn ở việc thực thi lệnh từ xa, tải lên webshell, tràn bộ đệm từ xa có thể khai thác, tràn ngăn xếp ActiveX có sẵn, lỗ hổng "sử dụng sau khi miễn phí" của trình duyệt có sẵn, khai thác bằng mã nhân từ xa và các lỗ hổng thực thi mã từ xa có vấn đề về logic.

2. Lỗ hổng dẫn trực tiếp đến việc thông tin bị lộ nghiêm trọng. Bao gồm, nhưng không giới hạn, lỗ hổng SQL injection cho các DB quan trọng.

3. Lỗ hổng logic trực tiếp tác động nghiêm trọng. Bao gồm, nhưng không giới hạn ở việc giả mạo ID tùy ý để gửi lỗ hổng tin nhắn, giả mạo bất kỳ bom ID nào đối với bất kỳ MẸO, lỗ hổng người dùng, lỗ hổng thay đổi mật khẩu tài khoản nào.

[Nghiêm Trọng]

Thang điểm từ 6-8, điểm bảo mật 360-480 (hệ số đổi xu bảo mật: web/ server 60; PC/ mobile 60)

Mức độ này bao gồm:

1. Lỗ hổng làm lộ thông tin cá nhân của người dùng. Như: lưu trữ XXS ở các trang dịch vụ quan trọng (trang chủ Bitget), lỗ hổng về câu truy vấn ở các trang phổ biến.

2. Truy cập quá mức. Bao gồm, nhưng không giới hạn, thông tin đăng nhập nền quản lý nhạy cảm.

3. Lỗ hổng nguy cơ rò rỉ thông tin cao. Bao gồm, nhưng không giới hạn ở, rò rỉ thông tin nhạy cảm có thể trực tiếp sử dụng,

4. Thực thi mã cục bộ tùy ý. Bao gồm, nhưng không giới hạn, tràn ngăn xếp có sẵn cục bộ, UAF, doublefree, format string, đặc quyền cục bộ, chiếm quyền điều khiển DLL liên quan đến tệp (không bao gồm tải tệp DLL không tồn tại và tải tính hợp pháp DLL bình thường chưa được kiểm tra) và các lỗi thực thi mã gốc khác do vấn đề logic gây ra.

5. Các lỗ hổng để có được trực tiếp quyền của khách hàng. Bao gồm, nhưng không giới hạn, thực thi lệnh tùy ý từ xa, tràn bộ đệm từ xa, tràn ngăn xếp ActiveX có sẵn, sử dụng trình duyệt sau khi có lỗ hổng miễn phí, lỗ hổng thực thi mã nhân từ xa và các lỗ hổng thực thi mã từ xa khác do sự cố logic gây ra.

6. Các lỗ hổng XSS đối với các sản phẩm quan trọng nhận được thông tin nhạy cảm hoặc thực hiện các hoạt động nhạy cảm.

[Bình thường]

Thang điểm từ 3-5 và điểm bảo mật từ 45-75 (hệ số đổi xu bảo mật: web/ server 15; PC/ mobile 15).

Mức độ này bao gồm:

1. Yêu cầu tương tác để lấy thông tin nhận dạng người dùng. Bao gồm nhưng không giới hạn XSS phản chiếu (bao gồm DOM-X SS phản chiếu), JSONHijacking, CSRF cho các hoạt động nhạy cảm quan trọng, XSS lưu trữ cho các dịch vụ chung

2. Lỗ hổng từ chối dịch vụ của ứng dụng từ xa, tiết lộ thông tin nhạy cảm, lỗ hổng từ chối dịch vụ nhân, lỗ hổng XSS đối với các sản phẩm khách có thể lấy thông tin nhạy cảm hoặc thực hiện các hoạt động nhạy cảm

3. Lỗ hổng làm lộ thông tin chung. Bao gồm, nhưng không giới hạn, mật khẩu lưu trữ bản rõ của ứng dụng khách, rò rỉ gói nén mã nguồn chứa thông tin nhạy cảm

[Thấp]

Thang điểm từ 1-2 và điểm bảo mật từ 9-18 (hệ số đổi xu bảo mật: web/ server 9; PC/ mobile 9).

Mức độ này bao gồm:

1. Các lỗ hổng trong thông tin nhận dạng người dùng có thể được lấy từ môi trường trình duyệt không phổ biến (như IE6). Bao gồm, nhưng không giới hạn ở, XSS phản chiếu (bao gồm DOM-XSS phản chiếu), XSS lưu trữ cho các dịch vụ chung, v.v...

2. Lỗ hổng rò rỉ thông tin nhỏ. Bao gồm, nhưng không giới hạn, rò rỉ đường dẫn, tệp SVN, phpinfo, thông tin logcat.

3. Lỗ hổng từ chối dịch vụ cục bộ của máy khách PC và máy khách di động. Bao gồm, nhưng không giới hạn, các lỗ hổng từ chối dịch vụ cục bộ do quyền thành phần gây ra.

4. Truy cập trái phép. Bao gồm, nhưng không giới hạn ở việc bỏ qua tính năng bảo vệ chủ động của ứng dụng khách, lỗ hổng nhảy URL Bitget và bước nhảy URL của bên thứ ba bỏ qua cơ chế phát hiện URL độc hại của Bitget (Lưu ý: Chuyển đến một trang web bình thường không phải là lỗ hổng).

5. Các vấn đề khó khai thác nhưng có thể tiềm ẩn nguy cơ mất an toàn. Bao gồm, nhưng không giới hạn ở Self-XS S, có thể gây ra sự lan truyền và khai thác, các hoạt động nhạy cảm không quan trọng, CSRF và các lỗ hổng thực thi mã từ xa yêu cầu tấn công trung gian và cung cấp PoC hiệu quả.

[Không Nghiêm Trọng]

Thang điểm 0 (hệ số đổi xu bảo mật: web/ server 0; PC/ mobile 0).

Mức độ này bao gồm:

1. Các lỗi bảo mật không liên quan. Bao gồm nhưng không giới hạn ở trang web bị cắt xén, không thể mở trang web và không thể sử dụng một tính năng.
2. "Lỗ hổng" không thể khai thác. Điều này bao gồm, nhưng không giới hạn, các báo cáo về lỗ hổng máy quét không có ý nghĩa (chẳng hạn như các phiên bản thấp hơn của WebServer), Self-XSS, JSON Hijacking mà không có thông tin nhạy cảm, CSRF không có hoạt động nhạy cảm (chẳng hạn như yêu thích, thêm giỏ hàng, đăng ký cho dịch vụ không quan trọng, sửa đổi dữ liệu cá nhân thông thường của doanh nghiệp không quan trọng, v.v.), rò rỉ mã nguồn vô nghĩa, rò rỉ địa chỉ IP / tên miền mạng nội bộ, lừa đảo xác thực cơ bản 401, vấn đề tin cậy đường dẫn chương trình, rò rỉ thông tin logcat mà không có thông tin nhạy cảm.
3. Không có bằng chứng xác thực.
4. Các lỗ hổng kinh doanh ngoài Bitget.

Tiêu chí đánh giá như sau:

mceclip0.png

Tiêu chuẩn đánh giá Bảo mật thông tin

Bảo mật thông tin liên quan đến các sản phẩm và lỗ hổng kinh doanh của Bitget, bao gồm nhưng không giới hạn ở các dấu hiệu dễ bị thiệt hại, dấu hiệu bị tấn công, thông tin liên quan đến bị tấn công, phương pháp tấn công và công nghệ tấn công. Theo mối nguy và thông tin được cung cấp, các tiêu chuẩn chi tiết như sau:

mceclip1.png

Nguyên tắc chung của các tiêu chuẩn đánh giá

1. Tiêu chí đánh giá chỉ dành cho thông tin về mối đe dọa ảnh hưởng đến các sản phẩm và dịch vụ của Bitget. Tên miền bao gồm nhưng không giới hạn ở * .bitget.com, máy chủ do Bitget vận hành và là sản phẩm khách do Bitget phát hành. Thông báo về mối đe dọa không ảnh hưởng đến bảo mật kinh doanh Bitget, không được tính.

2. Sản phẩm khách hàng quan trọng là chỉ khách hàng của Bitget.
3. Các sản phẩm và dịch vụ không được phát hành trực tiếp bởi Bitget hoặc thông tin về mối đe dọa ứng dụng của bên thứ ba của nền tảng mở Bitget không được tính.
4. Đối với các lỗ hổng trên ứng dụng khách (bao gồm cả PC và điện thoại di động) do thư viện của bên thứ ba gây ra (như libpng, zlib, libjpeg, v.v.) và có thể được sửa bằng cách nâng cấp hoặc thay thế thư viện của bên thứ ba, chỉ các báo cáo về lỗ hổng được cho điểm. Đồng thời, từ thời điểm phản hồi về lỗ hổng bảo mật đầu tiên được BGSRC thu được đến ngày phát hành phiên bản cố định đầu tiên của bên thứ ba, cùng một loại lỗ hổng được tính điểm; mức độ nguy hiểm được đánh giá bằng lỗ hổng có hại nhất.
5. Đối với các lỗ hổng có mục đích chung do hệ thống đầu cuối di động gây ra, chẳng hạn như uxss webkit, thực thi mã, v.v., chỉ người báo cáo lỗ hổng đầu tiên được chấm điểm và báo cáo lỗ hổng tương tự cho các sản phẩm khác không còn được tính điểm riêng biệt.
6. Vì việc kiểm tra lỗ hổng bảo mật của khách hàng rất phức tạp và liên quan đến các bộ phận phát triển khác, thời gian kiểm tra có thể lâu hơn so với lỗ hổng WEB. Đôi khi thông tin chi tiết về các lỗ hổng do người dùng cung cấp không đủ chi tiết, có thể khiến bộ phận bảo mật không đưa ra được kết luận trong thời gian đầu. Do đó, vui lòng cung cấp poc/ khai thác khi lỗ hổng phản hồi được cung cấp và cung cấp phân tích lỗ hổng tương ứng để tăng tốc độ xử lý của quản trị viên. Các nội dung gửi về lỗ hổng bảo mật không được cung cấp hoặc không được phân tích chi tiết bởi poc hoặc khai thác có thể ảnh hưởng trực tiếp đến đánh giá.
7. Nếu nhiều lỗ hổng được gửi cho cùng một máy khách trong cùng một khoảng thời gian, vui lòng xác định rõ mã khóa gây ra lỗ hổng và kích hoạt lỗ hổng để nhanh chóng xác nhận xem chúng có phải là cùng một lỗ hổng hay không và tăng tốc độ xác nhận lỗ hổng.
8. Các vấn đề bảo mật phát sinh từ các lỗ hổng bảo mật chung của bên thứ ba có tiêu chí trao giải thưởng như các lỗ hổng chung.
9. Khi một người dùng báo cáo về mối họa về bảo mật, nếu phát hiện ra rằng vấn đề an ninh vẫn tồn tại hoặc không được khắc phục, người đó sẽ tiếp tục ghi điểm là một thông tin tình báo về mối đe dọa mới.
10. Cùng một thông tin có hại, người báo cáo đầu tiên ghi điểm, các người dùng khác không có điểm; thông tin về mối họa đã gửi không được tính điểm.
11. Từ chối kết quả máy quét mà không có bằng chứng về thiệt hại thực tế.
12. Sử dụng kiểm tra bảo mật như một cái cớ để sử dụng thông tin tình báo gây tổn hại đến lợi ích của người dùng, ảnh hưởng đến hoạt động bình thường của doanh nghiệp, phơi bày trước công chúng trước khi sửa chữa, lấy cắp dữ liệu từ người dùng, v.v., sẽ không bị tính đến và Bitget có quyền thực hiện thêm các hành động pháp lý.

Cơ chế trao thưởng

[Giải thông thường]

1. Giải thưởng được trao đổi bằng tiền bảo mật (một loại tiền điện tử của bộ phận an ninh). Số lượng tiền bảo mật được nhân với điểm số thông minh về mối họa với hệ số mức độ nguy hiểm tương ứng. Yếu tố xếp hạng mối họa được đề cập đến phần “Tiêu chí chấm điểm thông minh về mối họa”. Hệ số sẽ được điều chỉnh theo tình hình thực tế, và mỗi lần điều chỉnh sẽ được thông báo. Tiền bảo mật được tạo ra bởi nhiều mối họa có thể được tích lũy, trừ khi có quy định khác, các đồng tiền bảo mật chưa sử dụng sẽ không hết hạn.
2. Quyền giải thích Tiêu chuẩn xử lý phần thưởng lỗ hổng bảo mật thuộc sở hữu của Bộ phận bảo mật Bitget.

Giải Quyết Tranh Chấp

Trong quá trình xử lý thông tin tình báo về mối đe dọa, nếu người báo cáo phản đối quy trình xử lý, đánh giá tình báo về mối nguy, điểm số tình báo về mối nguy, v.v., vui lòng liên lạc kịp thời qua hộp thư báo mối nguy hiện tại. Trung tâm Ứng cứu Khẩn cấp Bảo mật Bitget sẽ xử lý mức độ ưu tiên của các người báo cáo về mối đe dọa và nếu cần, cùng các bên bên ngoài quyết định.

FAQ

Q: 1 coin bảo mật an ninh của Bitget là bao nhiêu?

A: Theo tiêu chí trao thưởng của ngành, coin bảo mật hiện tại tương đương với khoảng 5 Nhân dân tệ.

Q: Thông tin về mối nguy sau khi Bitget nhận được có được công khai không?

A: Để bảo vệ lợi ích của người dùng, thông tin về mối nguy sẽ không được tiết lộ cho đến khi vấn đề được khắc phục. Sau đó, người báo cáo về mối nguy có thể công khai nó. Bộ phận bảo mật Bitget khuyến nghị rằng người báo cáo về mối đe nguy phân loại và tóm tắt các công nghệ liên quan và công khai chúng dưới dạng các bài báo kỹ thuật.

Q: Mối quan hệ giữa bộ phận bảo mật Bitget BGSRC và các tổ chức bảo mật khác là gì?

A: Bảo mật Bitget không thể tách rời sự hỗ trợ của ngành. BGSRC sẵn sàng hợp tác với nhiều nhóm bảo mật khác nhau để thúc đẩy sự phát triển lành mạnh của ngành bảo mật. Hiện BGSRC đã hợp tác với một số nhóm và sẽ có nhiều hợp tác hơn nữa trong thời gian tới.

Q: Liệu Bitget có "bỏ qua" lỗ hổng và sau đó bí mật sửa chữa nó?

A: Tuyệt đối không. Một khi các "lỗ hổng" được gửi vào trạng thái "bỏ qua", việc theo dõi với đồng nghiệp sẽ để lại lý do. Một sự cố thường xảy ra là "lỗ hổng" này không được coi là lỗ hổng và được đánh giá là một lỗi. BGSRC chỉ biết các đồng nghiệp sản phẩm có liên quan, việc thay đổi "lỗi" này hay không là do các đồng nghiệp sản phẩm quyết định. Một tình huống khác là sự thay đổi trong chính công việc kinh doanh, khiến cho các “lỗ hổng” không còn tồn tại. Nhưng dù thế nào đi nữa, Bitget cũng sẽ không "lén sửa".