支付宝安全应急响应中心-AFSRC

评估标准

荣誉排行

奖励标准

金币兑换

个人中心

首页

威胁情报评估标准

蚂蚁金服非常重视自身产品和业务的安全问题,我们深知挖掘漏洞、情报需要付出宝贵的时间和精力。我们承诺,对每一位报告者反馈的问题都有专人进 行跟进和处理,并及时给予答复。同时,对于帮助蚂蚁金服提升安全质量的用户,我们 将给予您感谢和回馈。

致谢:所有对这个标准给出建议的帽子

如果您对本流程有任何的建议,欢迎通过邮箱security@alipay.com。建议一经采纳,AFSRC会送出专属定制礼品。

评分标准

蚂蚁金币 = 基础价值 * 完整性系数

基础价值:严重情报55-66金币、 高危情报20-25金币、中危情报3-8金币、低危情报1-2金币
完整性系 数:完整10、最不完整1

严重 高危 中危 低危 无影响
完整 550-660 200- 250 30-80 10- 20 0
不完整 55-66 20-25 3-8 1-2 0

严重

基础金币【55-66】,本等级包括:
1. 针对核心业务系统的入侵情报。如核心生产服务器的入侵且提供了入侵 行为方式等相关线索;
2. 重大0Day漏洞。如核心服务器软件、系统 等未公开或半公开漏洞,核心办公软件等未公开或半公开的漏洞等;
3. 重要业务数据库被拖取且提供了数据库名或数据库 文件等相关线索;
4. 重大金融逻辑漏洞线索,如新型支付类严重的逻辑漏洞;
5.对核心业务造 成重大影响的威胁组织活动情报。如大规模支付宝账号盗取、利用金融平台洗钱等;

额外现金奖励1万~10万(人民币):
对核心业务、系统造成重大影响, 或对蚂蚁金服集团造成大量资金损失的威胁情报。如:涉及可大批量获取账密信息、控 制用户权限等情报;涉及可大批量获取核心敏感信息泄露。如用户身份信息、订单信息 等情报等。

高危

基础金币【20-25】,本等级包 括:
1. 针对非核心业务的入侵情报;
2. 可造 成重大影响的新型病毒、木马、蠕虫。如因重要业务的存储XSS漏洞导致的大规模蠕虫事 件等;
3. 对核心业务造成较大影响的威胁组织活动情报。如扫号、 DDoS情报等;

中危

基础金币【3-8】,本等级包 括:
1. 针对蚂蚁金服的新型可利用的攻击技术、工具及平台等。如 漏洞利用工具、针对支付宝账号的扫号工具等;
2. 一般风险的业务 安全问题。如营销活动作弊、业务规则绕过;
3、威胁组织基础信息 。包括但不限于威胁组织相关人员、架构、规模、地域、活动情况等信息、交流及销售 渠道、使用的工具和平台、造成的相关影响、行业动态等;

低危

基础金币【1-2】,本等级包括:
1. 低风险业务 安全问题。如恶意注册、违规违禁、商户欺诈;
2. 舆情舆论。包括 但不限于涉及到蚂蚁金服恶意言论、谣言等。


核心业务

支付宝、芝麻信用、蚂 蚁聚宝、网商银行、蚂蚁小贷、蚂蚁金融云、余额宝、招财宝、蚂蚁花呗


完整性系数

由于情报的完整性对情报的价值有着重要的影响,因此我们上报情报的价值会进行情报 完整性考量。情报完整性系数的评价将综合考虑情报的多个方面,如情报涉及的人员、 利用点、利用方式等。情报完整性系数的评价方式如下,最高不超过10分。
【我们 重点关注以下内容,范围0-9分】
1. 情报涉及到的威胁人员,如可定位到入侵者 个体或组织的情报;
2. 情报所涉及的利用点,如信息泄露页面或接口;
3. 所涉及的主要问题,如黑产、入侵、套现等;
【以下内容辅助关注,范围0-1分 】
1. 情报所需要用到的重要时间点,如入侵开始、结束的时间点等;
2. 情报背后的深层原因,如APT的背后组织者、进行攻击的根本原因;
3. 情报所涉及问题已造成的危害程度,如黑产组织已造成的损失等。
*注:辅助关注点仅当在对情报有突出意义时才计分。


无效情报

无效情报是指错误、无意义或根据 现有信息无法调查利用的威胁情报,例如:
上报虚假捏造或人为制 造情报信息的;
上报可能套现的QQ群号,且未提供其他有效信息的 ;
上报已发现或失效情报的。


评分标准通用原则

1. 评分标准仅适用于可 威胁到蚂蚁金服集团产品和业务相关的情报。与蚂蚁金服集团完全无关的情报,不计蚂 蚁金币;
2. 由于情报分析调查的时间较长,因此确认周期相比漏洞 的时长较长;
3. 由于情报的时效性,报告已知或已失效的情报不计分;
4. 同一情报,首位报告者计蚂蚁金币,其他报告者均不计;
5. 涉及到与蚂蚁金服安全的情报,在情报未处理完成前公开的,不 计分;
6. 人为自行制造安全威胁或安全事件情报的不计分,同时蚂 蚁金服将保留采取进一步法律行动的权利。

邮箱 security@alipay.com 友情链接 阿里巴巴安全应急响应中心
支付宝版权所有 2004-2016 ICP证: 沪B2-20150087