安全漏洞獎勵計畫
IEI積極維護資安,與合作夥伴及社群緊密合作,確保產品的安全性,保障用戶資料和系統的完整性。IEI 安全漏洞獎勵計劃,旨在表彰研究人員對我們用戶安全和隱私保護的貢獻,如果您提交與安全或隱私漏洞相關的研究報告,您的報告可能有資格獲得獎勵。
獎勵計畫適用範圍
獎勵計畫僅接受與 IEI 產品及網站服務相關的安全問題回報。未涵蓋在此計畫範圍的安全問題回報將不給予獎金;然而,我們將視情況接受非本計畫範圍以內,但嚴重性高且重要的安全問題回報。
系統軟體
IEI 開發的系統軟體:搭載於 IEI 產品,由 IEI 開發設計之系統軟體
官方網站
IEI 官方網站, 不含第三方體與開源軟體
如何回報安全問題與漏洞
請使用下列 PGP 公開金鑰將電子郵件訊息加密,並傳送至 security@ieiworld.com,IEI PSIRT 會主動聯絡研究員以確認提交資料。
獎勵資格標準
您必須是第一位回報安全漏洞的研究人員。
您尚未向公眾披露此安全漏洞。
您回報的安全漏洞經 IEI 內部人員確認為可驗證、可重現、且符合獎勵資格的漏洞。
你完全同意並遵守獎勵計劃
獎勵額度保有調整空間,具體取決於:
- 遵循弱點通報建議格式範例:請提供必要且充分的弱點通報資訊,建議格式:系統軟體格式範例、IEI 官網格式範例。
- 複製步驟:清楚詳盡的複製步驟。
- 問題描述:條理清晰,內容段落編排清楚的安全漏洞報告。
- 補充資訊:弱點通報建議格式範例中建議的項目,或其他有用資訊,例如:測試代碼、腳本,或其他詳細說明。
- 請以文字形式完整提供攻擊封包 (exploit payload) 原始資訊:僅提供圖檔的封包資訊,IEI PSIRT 團隊不保證可以正確複製,在無法重現有效攻擊的情況下,弱點認定可能失效。
- 1
獎勵計畫中的獎金額度是如何被衡量的?
獎勵機制與獎金額度由 IEI PSIRT 成員組成的獎勵委員會考慮以下因素決定:成功利用漏洞的複雜性,安全漏洞的威脅性包含受影響的用戶和系統的百分比。
- 2
我可以採用影片的方式寄送概念性驗證 (Proof-of-Concept) 嗎?
可以,如果透過影片可以讓人更容易理解弱點如何被利用,獎勵委員可能因此提高獎勵。請注意書面文件資訊是必須的(例如: PoC 概念證明文件及完整說明),如此有助弱點節漏流程的管理。
- 3
弱點通報須包含哪些資訊?
弱點通報至少必需包含:弱點所在的產品名稱,版本及版號或是雲端服務的網址位置、關於漏洞潛在威脅的摘要,以及詳盡清晰的複製步驟,並可搭配影片以重現漏洞。
- 4
如何得知我所回報的問題已成功被資安團隊接收
請使用 IEI 提供的 PGP Key 加密,將報告寄至 security@ieiworld.com。系統會自動回覆技術申請單號,研究員未來可以用此單號查詢審查進度。IEI PSIRT 團隊會主動聯絡研究員,並確認提交資料內容完整性。若資料已完整提供,一週內研究員將會收到 IEI PSIRT 弱點確認信。獎金提案則會於弱點確認信寄送日四週後以 email 通知。如果研究員同意,IEI 預計於收到確認回覆之十二週後進行匯款。
