PTT數位生活區 / NetSecurity (資安 資訊安全)

[閒聊] 大公司的漏洞回報管道

看板NetSecurity (資安 資訊安全)作者 (不安全研究員)時間1年前 (2023/05/13 11:48), 編輯推噓5(505)
留言10則, 6人參與, 最新討論串1/1
最近發現一個銀行的簡單安全性問題 想要回報時發現找不到地方聯絡管道 這時候才認真覺得銀行不愧是傳統產業... 這樣就算是路人找到漏洞 也不知道要怎樣回報 (賺取獎金) ## Submit Report 依照我之前的過往經驗 如果發現某公司的資訊安全漏洞會先: - 找官網上的聯絡方式、看有沒有問題回報的方式 - 透過關鍵字搜尋 xxx security vulnerabilities submit、就可以找到 像是 Facebook[0] 或 Intel[1] - 透過 HackerOne 或 Bugcrowd 看公司是否有在上面註冊 ## 台灣公司 整理一下台灣市值 50 大[2]公司中前十大的聯絡方式: | 公司名稱 | 聯絡方式 (官網) | 關鍵字 | 回報平台 | | ----------- | --------------- | -------------- | -------------- | | 2330 台積電 | 聯絡我們[3] | N/A | HackerOne[15] | | 2317 鴻海 | 聯絡我們[4] | N/A | N/A | | 2454 中華電 | 意見信箱[5] | ZeroDay[12] | N/A | | 6505 台塑化 | 聯絡我們[6] | ZeroDay[13] | N/A | | 2308 台達電 | 聯絡我們[7] | 正式管道[14] | N/A | | 2881 富邦金 | 聯絡我們[8] | N/A | N/A | | 2882 國泰金 | 聯絡我們[9] | N/A | N/A | | 1303 南亞 | 聯絡我們[10] | N/A | N/A | | 2303 聯電 | 聯絡我們[11] | N/A | N/A | 很不意外的、上面公司從官網都找不到合適的聯絡方式 尤其是富邦金控還需要填入身分證字號才能回報問題、感覺上在回報問題上有更高的門檻。 比較有趣的事情 台達電的漏洞回報似乎只有提供英文版本,使用中文基本找不到對應的資料。 [0]: https://www.facebook.com/security/advisories/Vulnerability-Disclosure-Policy [1]: https://www.intel.com/content/www/us/en/security/security-practices/vulnerability-management/reporting-vulnerability.html [2]: https://www.taifex.com.tw/cht/9/futuresQADetail [3]: https://www.tsmc.com/chinese/contact-us [4]: https://www.foxconn.com/zh-tw/contact [5]: https://www.cht.com.tw/zh-tw/home/cht/service/emailus [6]: https://www.fpcc.com.tw/tw/contact [7]: https://www.deltaww.com/zh-TW/customerService [8]: https://www.fubon.com/member/quest/quest.jsp?buCate=T [9]: https://www.cathayholdings.com/holdings/contact_us [10]: https://www.npc.com.tw/j2npc/zhtw/service/Cc1v01.do [11]: https://www.umc.com/zh-TW/Html/general_inquiries [12]: https://zeroday.hitcon.org/vulnerability/ZD-2021-00534 [13]: https://zeroday.hitcon.org/vulnerability/ZD-2022-00529 [14]: https://www.deltaww.com/en-US/customerService_CyberSecurity [15]: https://hackerone.com/tsmc?type=team -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.242.215.50 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/NetSecurity/M.1683949731.A.D47.html
05/14 11:55, 1年前 , 1F
謝謝大大分享!找不到的那種,感覺直接hitcon zeroday來
05/14 11:55, 1F
05/14 11:55, 1年前 , 2F
回報比較方便
05/14 11:55, 2F
05/14 12:35, 1年前 , 3F
過一手的問題就是不知道 這一手會不會再拿去利用
05/14 12:35, 3F
05/15 15:39, 1年前 , 4F
推好文
05/15 15:39, 4F
05/15 16:24, 1年前 , 5F
直接報給twcert/cc?
05/15 16:24, 5F
05/16 04:44, 1年前 , 6F
hitcon漏洞通報
05/16 04:44, 6F
06/09 17:55, , 7F
結論:官方聯絡信箱(?) 沒回應、HITCON Zeroday 沒回應
06/09 17:55, 7F
06/09 17:55, , 8F
LinkedIn 找人 沒回應
06/09 17:55, 8F
06/09 17:56, , 9F
透過內線找人就可以了 (挖鼻)
06/09 17:56, 9F
06/29 09:24, , 10F
金控的漏洞可以到金管會線上申訴,確定有人會通知處理
06/29 09:24, 10F
更多 CMJ0121 的文章
文章代碼(AID): #1aNmYZr7 (NetSecurity)
NetSecurity 近期熱門文章
更多 近期熱門文章 >>
PTT數位生活區 即時熱門文章
更多 即時熱門文章 >>
更多 CMJ0121 的文章
文章代碼(AID): #1aNmYZr7 (NetSecurity)