Tiêu Chuẩn Xử Lý Rủi Ro Bị Lộ Thông Tin Ra Ngoài
Gửi người dùng Bitget:
Vui lòng đọc kỹ Tiêu chuẩn xử lý rủi ro trí tuệ hiểm họa thông tin bên ngoài của Bitget như sau.
Phạm Vi Áp Dụng
Quy trình này được áp dụng cho tất cả thông tin gửi tới Trung Tâm Bảo Mật Bitget ([email protected]).
Ngày Thực Hiện
Thông báo này có hiệu lực kể từ ngày được công bố.
Quy Tắc Cơ Bản
Quy Trình và Phản Hồi về Mất An Toàn Bảo Mật
[Báo Cáo]
Các báo cáo về rủi ro mất an toàn bảo mật tại Bitget vui lòng email tới [email protected]
[Quy Trình Làm Việc]
1. Trong vòng 1 ngày làm việc, nhân viên Trung Tâm Bảo Mật Bitget sẽ xác nhận báo cáo mất an toàn bảo mật đã nhận được và bắt đầu xử lý vấn đề (trạng thái: Đang xử lý)
2. Trong vòng 3 ngày làm việc, nhân viên Trung Tâm Bảo Mật Bitget sẽ xử lý vấn đề, kết luật và đánh giá (trạng thái: Xác nhận/ Không xử lý) Nếu cần thiết, Bitget sẽ liên hệ với người báo cáo để xác minh và nhờ hỗ trợ.
[Khắc Phục]
1. Bộ phận kinh doanh khắc phục lỗi bảo mật và hẹn giờ cập nhật hệ thống (trạng thái: Đã khắc phục). Thời gian sửa chữa tùy vào mức độ khó và phức tạp của lỗ hổng. Nói chung, các lỗi lớn sẽ được khắc phục trong vòng 24 giờ, lỗi thông thường trong 3 giờ, lỗi nhỏ trong 7 ngày làm việc. Sự cố an toàn được giới hạn tùy theo phiên bản, và thời gian khắc phục tùy vào điều kiện thực tế.
2. Sự cố bị báo cáo được khắc phục xong (trạng thái: Đã xong/ Từ chối giải quyết)
[Hoàn Tất]
1. Trung tâm bảo mật sẽ gửi thông báo về quy trình khắc phục sự cố an ninh của tháng trước vào tuần đầu tiên hàng tháng. Những người dùng báo cáo lỗi sẽ cám ơn và cho biết lỗi bảo mật đã được xử lý; những sự cố nghiêm trọng hoặc gây hại lớn sẽ được thông báo riêng.
2. Những người dùng báo cáo lỗi có thể tích điểm để đổi thành hiện kim hoặc xu trên hệ thống. Sau khi thay đổi hoàn tất, trung tâm an ninh sẽ trao thưởng cho người đã báo cáo lỗi; thường sẽ là hiện vật hoặc các cuộc gặp mặt.
Tiêu Chuẩn Đánh Giá Rủi Ro Bảo Mật Thông Tin
Bảo mật thông tin tại Bitget thường gồm: lỗ hổng bảo mật và thông tin kinh doanh. Dưới đây chúng tôi sẽ mô tả riêng các tiêu chí đánh giá.
Tiêu Chuẩn Đánh Giá Lỗ Hổng Kinh Doanh
Được chia làm 5 cấp theo mức độ nghiệm trọng như sau: Rất nghiêm trọng, nghiêm trọng, bình thường, thấp và không nghiêm trọng.
[Rất Nghiêm Trọng]
Thang điểm từ 9-10 và điểm bảo mật từ 1080-1200.
Mức độ này bao gồm:
1. Truy cập trực tiếp lỗ hổng bảo mật (quyền truy cập máy chủ, hay các sản phẩm quan trọng của khách). Bao gồm, nhưng không giới hạn ở việc thực thi lệnh từ xa, tải lên webshell, tràn bộ đệm từ xa có thể khai thác, tràn ngăn xếp ActiveX có sẵn, lỗ hổng "sử dụng sau khi miễn phí" của trình duyệt có sẵn, khai thác bằng mã nhân từ xa và các lỗ hổng thực thi mã từ xa có vấn đề về logic.
2. Lỗ hổng dẫn trực tiếp đến việc thông tin bị lộ nghiêm trọng. Bao gồm, nhưng không giới hạn, lỗ hổng SQL injection cho các DB quan trọng.
3. Lỗ hổng logic trực tiếp tác động nghiêm trọng. Bao gồm, nhưng không giới hạn ở việc giả mạo ID tùy ý để gửi lỗ hổng tin nhắn, giả mạo bất kỳ bom ID nào đối với bất kỳ MẸO, lỗ hổng người dùng, lỗ hổng thay đổi mật khẩu tài khoản nào.
[Nghiêm Trọng]
Thang điểm từ 6-8, điểm bảo mật 360-480 (hệ số đổi xu bảo mật: web/ server 60; PC/ mobile 60)
Mức độ này bao gồm:
1. Lỗ hổng làm lộ thông tin cá nhân của người dùng. Như: lưu trữ XXS ở các trang dịch vụ quan trọng (trang chủ Bitget), lỗ hổng về câu truy vấn ở các trang phổ biến.
2. Truy cập quá mức. Bao gồm, nhưng không giới hạn, thông tin đăng nhập nền quản lý nhạy cảm.
3. Lỗ hổng nguy cơ rò rỉ thông tin cao. Bao gồm, nhưng không giới hạn ở, rò rỉ thông tin nhạy cảm có thể trực tiếp sử dụng,
4. Thực thi mã cục bộ tùy ý. Bao gồm, nhưng không giới hạn, tràn ngăn xếp có sẵn cục bộ, UAF, doublefree, format string, đặc quyền cục bộ, chiếm quyền điều khiển DLL liên quan đến tệp (không bao gồm tải tệp DLL không tồn tại và tải tính hợp pháp DLL bình thường chưa được kiểm tra) và các lỗi thực thi mã gốc khác do vấn đề logic gây ra.
5. Các lỗ hổng để có được trực tiếp quyền của khách hàng. Bao gồm, nhưng không giới hạn, thực thi lệnh tùy ý từ xa, tràn bộ đệm từ xa, tràn ngăn xếp ActiveX có sẵn, sử dụng trình duyệt sau khi có lỗ hổng miễn phí, lỗ hổng thực thi mã nhân từ xa và các lỗ hổng thực thi mã từ xa khác do sự cố logic gây ra.
6. Các lỗ hổng XSS đối với các sản phẩm quan trọng nhận được thông tin nhạy cảm hoặc thực hiện các hoạt động nhạy cảm.
[Bình thường]
Thang điểm từ 3-5 và điểm bảo mật từ 45-75 (hệ số đổi xu bảo mật: web/ server 15; PC/ mobile 15).
Mức độ này bao gồm:
1. Yêu cầu tương tác để lấy thông tin nhận dạng người dùng. Bao gồm nhưng không giới hạn XSS phản chiếu (bao gồm DOM-X SS phản chiếu), JSONHijacking, CSRF cho các hoạt động nhạy cảm quan trọng, XSS lưu trữ cho các dịch vụ chung
2. Lỗ hổng từ chối dịch vụ của ứng dụng từ xa, tiết lộ thông tin nhạy cảm, lỗ hổng từ chối dịch vụ nhân, lỗ hổng XSS đối với các sản phẩm khách có thể lấy thông tin nhạy cảm hoặc thực hiện các hoạt động nhạy cảm
3. Lỗ hổng làm lộ thông tin chung. Bao gồm, nhưng không giới hạn, mật khẩu lưu trữ bản rõ của ứng dụng khách, rò rỉ gói nén mã nguồn chứa thông tin nhạy cảm
[Thấp]
Thang điểm từ 1-2 và điểm bảo mật từ 9-18 (hệ số đổi xu bảo mật: web/ server 9; PC/ mobile 9).
Mức độ này bao gồm:
1. Các lỗ hổng trong thông tin nhận dạng người dùng có thể được lấy từ môi trường trình duyệt không phổ biến (như IE6). Bao gồm, nhưng không giới hạn ở, XSS phản chiếu (bao gồm DOM-XSS phản chiếu), XSS lưu trữ cho các dịch vụ chung, v.v...
2. Lỗ hổng rò rỉ thông tin nhỏ. Bao gồm, nhưng không giới hạn, rò rỉ đường dẫn, tệp SVN, phpinfo, thông tin logcat.
3. Lỗ hổng từ chối dịch vụ cục bộ của máy khách PC và máy khách di động. Bao gồm, nhưng không giới hạn, các lỗ hổng từ chối dịch vụ cục bộ do quyền thành phần gây ra.
4. Truy cập trái phép. Bao gồm, nhưng không giới hạn ở việc bỏ qua tính năng bảo vệ chủ động của ứng dụng khách, lỗ hổng nhảy URL Bitget và bước nhảy URL của bên thứ ba bỏ qua cơ chế phát hiện URL độc hại của Bitget (Lưu ý: Chuyển đến một trang web bình thường không phải là lỗ hổng).
5. Các vấn đề khó khai thác nhưng có thể tiềm ẩn nguy cơ mất an toàn. Bao gồm, nhưng không giới hạn ở Self-XS S, có thể gây ra sự lan truyền và khai thác, các hoạt động nhạy cảm không quan trọng, CSRF và các lỗ hổng thực thi mã từ xa yêu cầu tấn công trung gian và cung cấp PoC hiệu quả.
[Không Nghiêm Trọng]
Thang điểm 0 (hệ số đổi xu bảo mật: web/ server 0; PC/ mobile 0).
Mức độ này bao gồm:
Tiêu chí đánh giá như sau:
Tiêu chuẩn đánh giá Bảo mật thông tin
Bảo mật thông tin liên quan đến các sản phẩm và lỗ hổng kinh doanh của Bitget, bao gồm nhưng không giới hạn ở các dấu hiệu dễ bị thiệt hại, dấu hiệu bị tấn công, thông tin liên quan đến bị tấn công, phương pháp tấn công và công nghệ tấn công. Theo mối nguy và thông tin được cung cấp, các tiêu chuẩn chi tiết như sau:
Nguyên tắc chung của các tiêu chuẩn đánh giá
1. Tiêu chí đánh giá chỉ dành cho thông tin về mối đe dọa ảnh hưởng đến các sản phẩm và dịch vụ của Bitget. Tên miền bao gồm nhưng không giới hạn ở * .bitget.com, máy chủ do Bitget vận hành và là sản phẩm khách do Bitget phát hành. Thông báo về mối đe dọa không ảnh hưởng đến bảo mật kinh doanh Bitget, không được tính.
Cơ chế trao thưởng
[Giải thông thường]
Giải Quyết Tranh Chấp
Trong quá trình xử lý thông tin tình báo về mối đe dọa, nếu người báo cáo phản đối quy trình xử lý, đánh giá tình báo về mối nguy, điểm số tình báo về mối nguy, v.v., vui lòng liên lạc kịp thời qua hộp thư báo mối nguy hiện tại. Trung tâm Ứng cứu Khẩn cấp Bảo mật Bitget sẽ xử lý mức độ ưu tiên của các người báo cáo về mối đe dọa và nếu cần, cùng các bên bên ngoài quyết định.
FAQ
Q: 1 coin bảo mật an ninh của Bitget là bao nhiêu?
A: Theo tiêu chí trao thưởng của ngành, coin bảo mật hiện tại tương đương với khoảng 5 Nhân dân tệ.
Q: Thông tin về mối nguy sau khi Bitget nhận được có được công khai không?
A: Để bảo vệ lợi ích của người dùng, thông tin về mối nguy sẽ không được tiết lộ cho đến khi vấn đề được khắc phục. Sau đó, người báo cáo về mối nguy có thể công khai nó. Bộ phận bảo mật Bitget khuyến nghị rằng người báo cáo về mối đe nguy phân loại và tóm tắt các công nghệ liên quan và công khai chúng dưới dạng các bài báo kỹ thuật.
Q: Mối quan hệ giữa bộ phận bảo mật Bitget BGSRC và các tổ chức bảo mật khác là gì?
A: Bảo mật Bitget không thể tách rời sự hỗ trợ của ngành. BGSRC sẵn sàng hợp tác với nhiều nhóm bảo mật khác nhau để thúc đẩy sự phát triển lành mạnh của ngành bảo mật. Hiện BGSRC đã hợp tác với một số nhóm và sẽ có nhiều hợp tác hơn nữa trong thời gian tới.
Q: Liệu Bitget có "bỏ qua" lỗ hổng và sau đó bí mật sửa chữa nó?
A: Tuyệt đối không. Một khi các "lỗ hổng" được gửi vào trạng thái "bỏ qua", việc theo dõi với đồng nghiệp sẽ để lại lý do. Một sự cố thường xảy ra là "lỗ hổng" này không được coi là lỗ hổng và được đánh giá là một lỗi. BGSRC chỉ biết các đồng nghiệp sản phẩm có liên quan, việc thay đổi "lỗi" này hay không là do các đồng nghiệp sản phẩm quyết định. Một tình huống khác là sự thay đổi trong chính công việc kinh doanh, khiến cho các “lỗ hổng” không còn tồn tại. Nhưng dù thế nào đi nữa, Bitget cũng sẽ không "lén sửa".