ASRC 2018 專項情報收集計劃

威脅情報已不是一項新的事物，它不像漏洞那樣純技術，更加豐富多彩。ASRC於2016年5月推出《阿里巴巴集團威脅情報定級標準V2.0》，自發布以來收到了來自上百名白帽的上千條情報。

2018年，我們希望能更聚焦、更專註於業務關注的痛點情報，故發布《2018專項情報收集計劃》，相關情報我們會同比有更強的意願接收及給出更好的獎勵，並根據提交情況在年末為卓越情報專家頒發「年度情報之星」榮譽。

當然，除活動所述情報外，其他類型的各種情報也還是正常收集，可參考定級標準2.0。

一、時間：

2018年6月8日 - 2019年3月31日

二、範圍：

以下情報範圍均為阿里系相關情報

1.數據情報

在大量收集阿里經濟體相關會員或交易數據的各類平台、工具及人的情報，如批量爬取手機號、爬取會員信息、販賣個人信息等。

2.評價相關

阿里系商品評價：能通過技術手段或其他手段影響評價體系的工具、手法等，需要有相關例子作為證明。

3.黃牛相關

黃牛軟體：軟體保證可用，可下載，需要提供可搶購成功的證據，需要提供軟體賬號。非淘系搶購軟體不接收。

黃牛軟體作者及總代理：提供黃牛軟體作者和總代理的QQ等存在可聯繫的方式數據。

黃牛技術：被證明能用於突破阿里系黃牛防控的技術或者手法。

不接收的範圍：

黃牛軟體使用者：如單個發現某人使用黃牛軟體搶購。

黃牛軟體小代理：如普通的黃牛軟體二級分銷商，普通賣家等。

黃牛搶購情報：發現黃牛的搶購目標之類的，或者查詢搶購清單類的，當前暫不關注。

非黃牛軟體情報：使用批量付款工具的行為不屬於黃牛產業鏈，當前暫不關注。

4.釣魚相關

大型釣魚站點後台地址：通過欺詐、網路劫持、seo等多種方式吸引了大量流量的釣魚後台，積累了大量買家數據的，可以直接將相關後台進行舉報，需要證明後台有大量數據，也可以提供相關證明方式詳細信息

大型釣魚站點後台源碼：市面上較為通用的釣魚網站源碼，需要有5個以上實際case證明通用性

不接收的範圍：

單個釣魚站點：單個普通釣魚站點地址通過搜索可直接大量獲取，不在我們的收集範圍內

5.手機接碼相關

接碼軟體：軟體保證可用可下載（最好上傳網盤），軟體功能保證可取號、可取簡訊即可，視頻也可作為證明。

接碼平台：保證可訪問可取號

寄售平台上的手機接碼相關情報：如來自一些寄售平台上在出售的手機接碼鏈接或軟體（大多為低危）

拉新薅羊毛方法：包括但不限於IP、設備等繞過方法類情報。

6.搜索相關

能提高淘系平台商品或店鋪的搜索權重、排名等數據的軟體工具、技術手法、網站平台，需要保證軟體、網站平台的可用性，手法類需要有證明可行的證據，包括但不限於截圖、視頻等。如卡位升排名卡首屏類軟體、工具、平台。

基於按鍵精靈類的模擬點擊軟體或手法，不在收集範圍內。

三、以上情報定級特殊規則：

除寄售平台上的手機接碼相關情報外，其他類型情報一經確認危害起步為中危，具體視相關軟體的使用量、涉及資金量、影響面而定。

重複上報的技術、軟體、平台等情報將被駁回，軟體請上傳到網盤後附上鏈接，軟體和平台需要可用、可訪問。

四、無效情報

無效情報是指錯誤、無意義或根據現有信息無法調查利用的威脅情報，例如：

上報虛假捏造或人為製造情報信息的；

上報可能刷單、炒信的QQ群號，且未提供其他有效信息的；

通過社工等手段誘導客服進行相關操作的；

上報已發現或失效情報的。

五、 評分標準通用原則

1. 評分標準僅適用於可威脅到阿里巴巴集團產品和業務相關的情報。與阿里巴巴集團完全無關的情報，不計貢獻值；

2. 由於情報分析調查的時間較長，因此確認周期相比漏洞的時長較長；

3. 由於情報的時效性，報告已知或已失效的情報不計分；

4. 同一情報，首位報告者計貢獻值，其他報告者均不計；

5. 涉及到與阿里巴巴安全的情報，在情報未處理完成前公開的，不計分；

6. 非核心業務的情報等級將結合情報影響程度作降級判定；

7. 人為自行製造安全威脅或安全事件情報的不計分，同時阿里巴巴將保留採取進一步法律行動的權利。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！