威胁情报已不是一项新的事物,它不像漏洞那样纯技术,更加丰富多彩。ASRC于2016年5月推出《阿里巴巴集团威胁情报定级标准V2.0》,自发布以来收到了来自上百名白帽的上千条情报。
2018年,我们希望能更聚焦、更专注于业务关注的痛点情报,故发布《2018专项情报收集计划》,相关情报我们会同比有更强的意愿接收及给出更好的奖励,并根据提交情况在年末为卓越情报专家颁发“年度情报之星”荣誉。
当然,除活动所述情报外,其他类型的各种情报也还是正常收集,可参考定级标准2.0。
一、时间:
2018年6月8日 - 2019年3月31日
二、范围:
以下情报范围均为阿里系相关情报
1.数据情报
在大量收集阿里经济体相关会员或交易数据的各类平台、工具及人的情报,如批量爬取手机号、爬取会员信息、贩卖个人信息等。
2.评价相关
阿里系商品评价:能通过技术手段或其他手段影响评价体系的工具、手法等,需要有相关例子作为证明。
3.黄牛相关
黄牛软件:软件保证可用,可下载,需要提供可抢购成功的证据,需要提供软件账号。非淘系抢购软件不接收。
黄牛软件作者及总代理:提供黄牛软件作者和总代理的QQ等存在可联系的方式数据。
黄牛技术:被证明能用于突破阿里系黄牛防控的技术或者手法。
不接收的范围:
黄牛软件使用者:如单个发现某人使用黄牛软件抢购。
黄牛软件小代理:如普通的黄牛软件二级分销商,普通卖家等。
黄牛抢购情报:发现黄牛的抢购目标之类的,或者查询抢购清单类的,当前暂不关注。
非黄牛软件情报:使用批量付款工具的行为不属于黄牛产业链,当前暂不关注。
4.钓鱼相关
大型钓鱼站点后台地址:通过欺诈、网络劫持、seo等多种方式吸引了大量流量的钓鱼后台,积累了大量买家数据的,可以直接将相关后台进行举报,需要证明后台有大量数据,也可以提供相关证明方式详细信息
大型钓鱼站点后台源码:市面上较为通用的钓鱼网站源码,需要有5个以上实际case证明通用性
不接收的范围:
单个钓鱼站点:单个普通钓鱼站点地址通过搜索可直接大量获取,不在我们的收集范围内
5.手机接码相关
接码软件:软件保证可用可下载(最好上传网盘),软件功能保证可取号、可取短信即可,视频也可作为证明。
接码平台:保证可访问可取号
寄售平台上的手机接码相关情报:如来自一些寄售平台上在出售的手机接码链接或软件(大多为低危)
拉新薅羊毛方法:包括但不限于IP、设备等绕过方法类情报。
6.搜索相关
能提高淘系平台商品或店铺的搜索权重、排名等数据的软件工具、技术手法、网站平台,需要保证软件、网站平台的可用性,手法类需要有证明可行的证据,包括但不限于截图、视频等。如卡位升排名卡首屏类软件、工具、平台。
基于按键精灵类的模拟点击软件或手法,不在收集范围内。
三、以上情报定级特殊规则:
除寄售平台上的手机接码相关情报外,其他类型情报一经确认危害起步为中危,具体视相关软件的使用量、涉及资金量、影响面而定。
重复上报的技术、软件、平台等情报将被驳回,软件请上传到网盘后附上链接,软件和平台需要可用、可访问。
四、无效情报
无效情报是指错误、无意义或根据现有信息无法调查利用的威胁情报,例如:
上报虚假捏造或人为制造情报信息的;
上报可能刷单、炒信的QQ群号,且未提供其他有效信息的;
通过社工等手段诱导客服进行相关操作的;
上报已发现或失效情报的。
五、 评分标准通用原则
- 评分标准仅适用于可威胁到阿里巴巴集团产品和业务相关的情报。与阿里巴巴集团完全无关的情报,不计贡献值;
- 由于情报分析调查的时间较长,因此确认周期相比漏洞的时长较长;
- 由于情报的时效性,报告已知或已失效的情报不计分;
- 同一情报,首位报告者计贡献值,其他报告者均不计;
- 涉及到与阿里巴巴安全的情报,在情报未处理完成前公开的,不计分;
- 非核心业务的情报等级将结合情报影响程度作降级判定;
- 人为自行制造安全威胁或安全事件情报的不计分,同时阿里巴巴将保留采取进一步法律行动的权利。
本活动自2018年6月8日起执行,ASRC负责本活动的解释和更新。