HSRC安全情报评估标准v1.0

公告编号:作者:admin发布日期:2024/07/08

安全情报是指哈啰出行的产品和业务漏洞相关的情报,包括但不限于漏洞线索、攻击线索、攻击者相关信息、攻击方式、攻击技术等;

情报报告必须经过情报提供者的验证和复现并提供相关证明材料(不限于复现截图和视频) 用于证明威胁情报真实有效;情报提供者需写清事实依据,同时应该反馈详细复现信息包括但不限于复现行为开始时间,复现行为结束时间,复现结果和结果证明,复现账号和ID等。

 

一、安全情报评分标准

哈啰安全币 = 基础价值 * 完整性系数

HSRC采用哈啰安全币作为货币单位,2哈啰安全币=1RMB

基础价值:严重情报400-600哈啰安全币、 高危情报240-360哈啰安全币、中危情报100-200哈啰安全币、低危情报20-40哈啰安全币、无风险0哈啰安全币

 


严重

高危

中危

低危

无风险

核心业务(10)

4000-6000

2400-3600

1000-2000

200-400

0

一般业务(4)

1600-2400

960-1440

400-800

80-160

0

边缘业务(1)

400-600

240-360

100-200

20-40

0

 

二、业务范围

业务域名范围:*.hellobike.com、*.hellobike.cn

核心业务:单车、助力车、顺风车、电动车、火车票、打车

一般业务:生活、车主服务、送货、哈啰生活馆、哈啰币等

边缘业务:哈啰出行其它业务

      排除业务:yonyou-web.hellobike.com


 

三、安全情报威胁等级

【严重】

1.对集团造成大量资金损失的威胁情报;

2.核心业务和影响所有用户的严重的逻辑设计缺陷和流程缺陷。包括但不仅限于账号和交易支付的严重问题,如任意账号登录、批量修改任意账号密码、消费窃取任意账号资金、注销账号等。

 

【高危】

1.对集团造成较大资金损失的威胁情报;

2.核心业务和影响较大用户的逻辑设计缺陷和流程缺陷。例如通过获取其他站点泄露的他人哈啰账号密码在哈啰平台登录并盗取大量账号。

 

【中危】

1.对集团造成一定资金损失的威胁情报;

2.核心业务和影响部分用户的逻辑设计缺陷和流程缺陷。例如因业务规则问题导致被一定量级用户利用的刷单行为。例如共享账号、伪造虚假订单骗取补贴等;

3.普通信息泄露。包括但不仅限于JSON劫持、列目录、客户端明文密码存储、个别用户订单或身份信息泄露、内部数据泄露(github泄露账号密码等);

4.普通逻辑设计缺陷。包括但不限于短信验证码绕过。

 

【低位】

1.对集团造成较少资金损失的威胁情报;

2.例如少量个体用户的薅券行为、小范围的舆情信息等。

 

【无风险】

1.上报虚假捏造或人为制造情报信息的;

2.上报可能刷单、炒信的QQ群号,且未提供其他有效信息的;

3.上报单个或少量店铺的非业务规则问题导致的刷单行为;

4.上报已发现或失效情报的。