2024年5月2日星期四

台灣電力公司對外資訊服務漏洞懸賞活動

台灣電力公司對外資訊服務漏洞懸賞活動


⚠️本次活動通報方式為直接透過本公司郵件bugbounty@taipower.com.tw提交通報,若您仍需額外將漏洞細節上架於HITCON ZeroDay,請於回報信件中告知,本公司將誠摯協助處理。


一、活動訊息公告

  • 本公司的漏洞懸賞活動即日起開跑,歡迎各方好手熱情參與!
  • 參賽資格: 持有本國國民身分證者即可參加本次活動。
  • 活動時間: 自2024/05/01起至2024/07/31止
  • 如遇緊急狀況,本公司得單方面終止活動,並公告於活動網頁,恕不另行通知。

二、通報流程

  1. 請您發現漏洞後依據規範(詳見第三點第(一)項)書寫並寄至bugbounty@taipower.com.tw。

  2. 本公司將於7個工作天內回覆您並根據漏洞嚴重性儘速修正問題(一般性漏洞約3個月內會修正完成)。

  3. 漏洞修正完成後將通知您協助複測。

  4. 請依據規範書寫複測報告並寄至bugbounty@taipower.com.tw (詳見第三點第(二)項)。

  5. 根據您提交的通報審核獎金額度(詳見第四點第(三)項)後匯款至您的帳戶。

三、 通報規範

通報請包含以下內容:(倘若檔案壓縮後超過12Mb ,請切割檔案批次寄出)

(一) 漏洞報告規範:

  1. 姓名
  2. 電話
  3. 聯絡郵件
  4. 學校/公司名稱
  5. 職稱
  6. IP位址
  7. 探測網址
  8. 概念性驗證(PoC)說明:請提供可重現漏洞之詳細過程,以利本公司驗證並重現,如詳細記錄:使用之工具、攻擊字串等
  9. 修補建議

(二) 複測報告規範:

  1. 複測驗證過程:請提供截圖等相關佐證
  2. 複測結果
  3. (如未通過複測)修補建議

四、獎金說明

(一) 獎金總額:新台幣200萬元整,獎金發放完畢為止

(二) 您必須符合下列所有條件,才有資格獲得獎金:

  • 您是具有本國國民身分證者的台灣人民。
  • 您是第一位回報特定漏洞的通報者。
  • 您是透過本公司唯一管道E-mail(bugbounty@taipower.com.tw)提交通報。
  • 您回報的通報經確認為可驗證、重現且符合獎勵資格的漏洞,請提供充足資訊以重現您所回報的問題 。
  • 您遵守本計畫的所有條款和規定。

(三) 獎金金額將視所回報漏洞的嚴重性而定:

嚴重程度由本公司內部及外聘之評審視通報內容依漏洞影響程度評判獎金額
【依所得稅法規定,獎金在NT$20,000(含)以上者,依法扣繳10%所得稅】
【 依印花稅法規定,依法扣繳 4% 印花稅 】

嚴 重 程 度獎 金 額 度 (NTD)漏 洞 影 響 說 明
嚴重100,000元~150,000 元任何由本公司對外服務系統及行動應用APP,進入本公司企業內網(對外服務網段外之10.X.X.X網段)且能造成實質影響之攻擊行為。『請務必提出進入企業內網網段之佐證』
50,000元~100,000 元於本次活動範圍內,對本公司對外服務系統及行動應用APP,造成嚴重影響之任何攻擊行為。
20,000元~50,000 元於本次活動範圍內,對本公司對外服務系統及行動應用APP,造成實質影響之任何攻擊行為。
頒發感謝狀/1,000元~5,000元發現任何符合OWASP Top 10 (2017、2021) 、OWASP Mobile Top 10 (2014、2016)之漏洞且並未對服務系統造成任何實質影響。
非首位通報者頒發感謝狀-

(四) 下列攻擊手法不在本次活動範圍:

  • 實體存取使用者設備 (Physical access to a user's device)
  • 社交工程 (Social engineering)
  • 中間人攻擊 (MITM attacks)
  • DDoS / Fuzzing / High-Bandwidth 攻擊

五、檢測範圍:

類型目標行動作業平台
本公司對外資訊服務1. Domain 含 taipower.com.tw 之資訊系統 。X
2.北部對外服務之網段: 61.65.236.0/23 、61.65.238.0/23 。X
3.中部資訊中心和南部資訊中心之對外服務網段:121.50.188~189.0/24 、 122.146.207.128/26 、122.146.210.128/26 。X
本公司行動應用APP台灣電力APPiOS/Android
電力即點 APPiOS/Android

六、審核機制

  • 本公司成立內、外部含產官學之評審委員會針對您回報的安全性漏洞造成系統實際影響程度審核獎金金額。
  • 若提交之通報為針對同一系統的連續攻擊行為,將視為同一則通報合併審核 。

七、漏洞的揭露政策

  • 請提供完整詳細的漏洞說明(例如:網址連結或參數),以及對網站系統影響提出佐證(例如:於發動攻擊前、後之對照畫面),並包含可重現漏洞的步驟,請務必於通報中完整說明,將由您提交的通報內容判定獎金額度,結果通知後再提出佐證則不予以採納
  • 您通報的漏洞在不影響公司信譽及服務正常運行下,本公司不會採取任何的法律行為。
  • 您通報的漏洞不得公開揭露,取得的系統資料或是個人資料,均不得洩漏,如有違反「營業秘密法」、「公平交易法」、「國家機密保護法」等相關之法規內容,除依其情形負刑事責任外,對於本公司因而所致之一切損失,均應依實際損失情形負起全部之損害賠償責任。

八、與我們聯繫

  • 本公司漏洞懸賞活動委員會 bugbounty@taipower.com.tw

沒有留言:

發佈留言

歡迎留下寶貴意見

資訊資產盤點

 https://forms.gle/KP7VuzdRgFyT3kqX9 https://docs.google.com/spreadsheets/d/1JrCSUoK8DFm4SloUYkofqvYNdy3ArDy7gQ376vT-6HQ/edit?usp=sharing