威脅情報已不是一項新的事物,它不像漏洞那樣純技術,更加豐富多彩。ASRC於2016年5月推出《阿里巴巴集團威脅情報定級標準V2.0》,自發布以來收到了來自上百名白帽的上千條情報。
2018年,我們希望能更聚焦、更專注於業務關注的痛點情報,故發佈《2018專項情報收集計劃》,相關情報我們會同比有更強的意願接收及給出更好的獎勵,並根據提交情況在年末為卓越情報專家頒發“年度情報之星”榮譽。
當然,除活動所述情報外,其他類型的各種情報也還是正常收集,可參考定級標準2.0。
一、時間:
2018年6月8日 - 2019年3月31日
二、範圍:
以下情報範圍均為阿里系相關情報
1.數據情報
在大量收集阿里經濟體相關會員或交易數據的各類平臺、工具及人的情報,如批量爬取手機號、爬取會員信息、販賣個人信息等。
2.評價相關
阿里系商品評價:能通過技術手段或其他手段影響評價體系的工具、手法等,需要有相關例子作為證明。
3.黃牛相關
黃牛軟件:軟件保證可用,可下載,需要提供可搶購成功的證據,需要提供軟件賬號。非淘系搶購軟件不接收。
黃牛軟件作者及總代理:提供黃牛軟件作者和總代理的QQ等存在可聯繫的方式數據。
黃牛技術:被證明能用於突破阿里系黃牛防控的技術或者手法。
不接收的範圍:
黃牛軟件使用者:如單個發現某人使用黃牛軟件搶購。
黃牛軟件小代理:如普通的黃牛軟件二級分銷商,普通賣家等。
黃牛搶購情報:發現黃牛的搶購目標之類的,或者查詢搶購清單類的,當前暫不關注。
非黃牛軟件情報:使用批量付款工具的行為不屬於黃牛產業鏈,當前暫不關注。
4.釣魚相關
大型釣魚站點後臺地址:通過欺詐、網絡劫持、seo等多種方式吸引了大量流量的釣魚後臺,積累了大量買家數據的,可以直接將相關後臺進行舉報,需要證明後臺有大量數據,也可以提供相關證明方式詳細信息
大型釣魚站點後臺源碼:市面上較為通用的釣魚網站源碼,需要有5個以上實際case證明通用性
不接收的範圍:
單個釣魚站點:單個普通釣魚站點地址通過搜索可直接大量獲取,不在我們的收集範圍內
5.手機接碼相關
接碼軟件:軟件保證可用可下載(最好上傳網盤),軟件功能保證可取號、可取短信即可,視頻也可作為證明。
接碼平臺:保證可訪問可取號
寄售平臺上的手機接碼相關情報:如來自一些寄售平臺上在出售的手機接碼鏈接或軟件(大多為低危)
拉新薅羊毛方法:包括但不限於IP、設備等繞過方法類情報。
6.搜索相關
能提高淘系平臺商品或店鋪的搜索權重、排名等數據的軟件工具、技術手法、網站平臺,需要保證軟件、網站平臺的可用性,手法類需要有證明可行的證據,包括但不限於截圖、視頻等。如卡位升排名卡首屏類軟件、工具、平臺。
基於按鍵精靈類的模擬點擊軟件或手法,不在收集範圍內。
三、以上情報定級特殊規則:
除寄售平臺上的手機接碼相關情報外,其他類型情報一經確認危害起步為中危,具體視相關軟件的使用量、涉及資金量、影響面而定。
重複上報的技術、軟件、平臺等情報將被駁回,軟件請上傳到網盤後附上鍊接,軟件和平臺需要可用、可訪問。
四、無效情報
無效情報是指錯誤、無意義或根據現有信息無法調查利用的威脅情報,例如:
上報虛假捏造或人為製造情報信息的;
上報可能刷單、炒信的QQ群號,且未提供其他有效信息的;
通過社工等手段誘導客服進行相關操作的;
上報已發現或失效情報的。
五、 評分標準通用原則
1. 評分標準僅適用於可威脅到阿里巴巴集團產品和業務相關的情報。與阿里巴巴集團完全無關的情報,不計貢獻值;
2. 由於情報分析調查的時間較長,因此確認週期相比漏洞的時長較長;
3. 由於情報的時效性,報告已知或已失效的情報不計分;
4. 同一情報,首位報告者計貢獻值,其他報告者均不計;
5. 涉及到與阿里巴巴安全的情報,在情報未處理完成前公開的,不計分;
6. 非核心業務的情報等級將結合情報影響程度作降級判定;
7. 人為自行製造安全威脅或安全事件情報的不計分,同時阿里巴巴將保留採取進一步法律行動的權利。
本活動自2018年6月8日起執行,ASRC負責本活動的解釋和更新。
閱讀更多 AliTech 的文章