Quy định/Quy tắc này áp dụng với Chương trình Bug Bounty cho nền tảng chuyển đổi số quốc gia do Bộ Thông tin và Truyền thông phát động nhằm đảm bảo an toàn, an ninh mạng/an toàn thông tin/tìm ra những lỗ hổng bảo mật sớm nhất trên các nền tảng Chuyển đổi số quốc gia và các ứng dụng chuyển đổi số phổ biến
Quy tắc do Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) phối hợp với các đơn vị liên quan xây dựng và thống nhất ban hành.
Vui lòng không gửi báo cáo với tư cách người dùng ẩn danh (anonymous). Các báo cáo này sẽ chỉ nhận được vinh danh.
1. Phạm vi
Chương trình Bug Bounty cho nền tảng chuyển đổi số quốc gia áp dụng cho các nền tảng sau đây:
1. Nền tảng tích hợp, chia sẻ dữ liệu (NGSP).
2. CSDL quốc gia về đăng ký doanh nghiệp.
3. CSDL quốc gia về bảo hiểm, CSDL quốc gia về đất đai quốc gia.
4. Cổng dịch vụ công quốc gia.
5. Nền tảng tiêm chủng covid 19.
2. Quy định đối với người tham gia
2.1. Hành động cho phép
- Tuân thủ luật pháp và quy định hiện hành.
- Xác định mục đích duy nhất là tìm kiếm và thông báo lỗ hổng bảo mật đáng ngờ đối với các nền tảng trong Mục 1 nhưng không làm ảnh hưởng đến hoạt động của nền tảng.
- Tránh gây thiệt hại, tổn thất cho cá nhân, tổ chức hoặc nền tảng trong chương trình.
- Thông báo lỗ hổng qua BugRank sớm nhất khi phát hiện ra một lỗ hổng đáng ngờ.
- Nếu có thể, cung cấp thông tin về bạn (tên, số điện thoại, thư điện tử) trong báo cáo để chúng tôi có thể liên hệ với bạn (bao gồm tên và email của những người mà bạn có thể đã tiết lộ lỗ hổng bị nghi ngờ với họ).
- Cung cấp đầy đủ thông tin về lỗ hổng bị nghi ngờ trong báo cáo để đánh giá, kiểm tra, xác thực lỗ hổng bảo mật bạn đã gửi. Các thông tin về lỗ hổng bạn có thể gửi bao gồm (không giới hạn) thông tin sau:
+ Mô tả về lỗ hổng.
+ Địa chỉ IP và/hoặc URL của dịch vụ bị nghi ngờ có lỗ hổng.
+ Cấu hình và phiên bản của phần mềm bị nghi ngờ có lỗ hổng.
+ Mô tả các trường hợp, các dòng sự kiện dẫn đến lỗ hổng.
+ Mô tả lý do tồn tại lỗ hổng.
+ Mức độ của tác động của lỗ hổng.
+ Trong 1 số trường hợp chúng tôi có thể yêu cầu cung cấp thêm các thông tin để xác minh lỗ hổng.
2.2. Hành động không được phép
- Nghiêm cấm hành động tùy ý, trái với luật pháp và quy định hiện hành.
- Nghiêm cấm tiết lộ công khai bất kỳ lỗ hổng nào hoặc các thông tin liên quan đến lỗ hổng (như cách thức tìm kiếm, …..) cho bên thứ ba nào trước khi lỗ hổng được Bộ Thông tin và Truyền thông thông báo đã xử lý.
- Nghiêm cấm triển khai các phương tiện phá hoại, gây rối hoặc bất hợp pháp khác để phát hiện các lỗ hổng (Ví dụ: tấn công vật lý, Social Engineering, tấn công từ chối dịch vụ, tấn công dò đoán mật khẩu).
- Nghiêm cấm việc khai thác hoặc sử dụng bất kỳ lỗ hổng bị nghi ngờ nào (ví dụ: truy cập trái phép, sao chép, tạo, xóa, sửa đổi, thao tác hoặc tải xuống bất kỳ dữ liệu hoặc chương trình nào, cài đặt backdoor, sửa đổi cấu hình hệ thống, tạo điều kiện hoặc chia sẻ quyền truy cập hệ thống).
3. Kiểm tra, đánh giá và xác nhận lỗ hổng
- Việc tiếp nhận, kiểm tra và đánh giá các báo cáo lỗ hổng bảo mật gửi về thông qua BugRank và thông báo cho các bên liên quan về lỗ hổng thực hiện trong vòng 07 ngày làm việc kể từ khi nhận được báo cáo lỗ hổng.
- Trong quá trình tiếp nhận, kiểm tra và đánh giá lỗ hổng chúng tôi có thể kết nối bạn và các bên liên quan có thể bị ảnh hưởng bởi lỗ hổng nghi ngờ.
4. Xử lý, khắc phục lỗ hổng
Chúng tôi sẽ làm việc với bạn và các bên liên quan để giải quyết mọi lỗ hổng bảo mật đã được xác nhận trong vòng 90 ngày làm việc kể từ khi báo cáo lỗ hổng được xác nhận.
5. Vinh danh và trao thưởng
Chúng tôi sẽ tổ chức vinh danh bảng xếp hạng top 50 chuyên gia có nhiều đóng góp cho việc tìm kiếm, phát hiện lỗ hổng bảo mật vào Ngày an toàn thông tin Việt Nam diễn ra vào tháng 11 hằng năm. Đặc biệt, 03 chuyên gia xuất sắc nhất, có nhiều phát hiện và đóng góp lớn sẽ được nhận sẽ được giải thưởng và bằng khen của Bộ trưởng Bộ Thông tin và Truyền thông.
6. Quy định/Quy tắc khác
Chúng tôi không thỏa thuận hoặc cung cấp cho bạn bất kỳ hình thức miễn trừ, bồi thường hoặc bảo vệ khỏi trách nhiệm dân sự hoặc hình sự (nếu có) theo luật pháp và quy định hiện hành khi bạn có các hành vi cố gắng tấn công vào hệ thống.
Chúng tôi không chịu trách nhiệm về mọi chi phí, thiệt hại dưới bất kỳ hình thức nào mà bạn có thể phải chịu do hành vi khai thác liên quan đến bất kỳ lỗ hổng nghi ngờ nào mà bạn có thể báo cáo.
7. Các lỗ hổng được chấp nhận
Bất kì lỗ hổng nào có thể gây ra ảnh hường đáng kể về tính bí mật và tính toàn vẹn của dữ liệu người dùng đều được chúng tôi chấp nhận. Một số ví dụ:
+ Cross Site Scripting (XSS)
+ Cross-Site Request Forgery (CSRF)
+ SQL Injection (SQLi)
+ Authentication related issues
+ Authorization related issues
+ Data Exposure
+ Remote Code Execution
+ Business Logic
+ Mobile-specific API vulnerabilities
8. Các lỗ hổng không được chấp nhận
Phụ thuộc vào mức độ ảnh hưởng, một số lỗ hổng có thể sẽ không được chấp nhận. Một số ví dụ:
+ URL redirection
+ Bugs requiring exceedingly unlikely user interaction
+ Logout cross-site request forgery
+ Flaws affecting the users of out-of-date browsers and plugins.
+ Presence of banner or version information
+ Email spoofing
+ DDoS
9. Quá trình cập nhật, sửa đổi
Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC).
Tín nhiệm mạng | Ngày 14/10, Acer đã xác nhận công ty đã bị vi phạm bảo mật lần thứ hai trong năm nay sau khi tin tặc rao bán hơn 60 GB dữ liệu của công ty trên một diễn đàn tội phạm mạng ngầm.
Tín nhiệm mạng | WhatsApp đang triển khai tính năng sao lưu các cuộc trò chuyện với mã hóa đầu cuối (end-to-end/e2e) trên iOS và Android để ngăn chặn bất kỳ truy cập trái phép vào các cuộc trò chuyện của bạn, bất kể chúng được lưu trữ ở đâu.
Tín nhiệm mạng | Nhóm phân tích mối đe dọa của Google (TAG) cho biết họ đang theo dõi hơn 270 nhóm tin tặc được chính phủ hậu thuẫn từ hơn 50 quốc gia. Google cũng đã gửi khoảng 50.000 cảnh báo về các vấn đề lừa đảo và phần mềm độc hại cho khách hàng kể từ đầu năm 2021.
Tín nhiệm mạng | Các nhà nghiên cứu bảo mật cho biết tin tặc có thể đánh cắp toàn bộ số tiền trong ví của bất kì tài khoản OpenSea bằng cách dụ họ nhấp vào NFT chứa mã độc.
Tín nhiệm mạng | Google đã ra mắt bài trắc nghiệm về Tấn công giả mạo. Đây là sản phẩm kết hợp giữa Google và NCSC nhằm nâng cao nhận thức của người dùng về các vấn đề lừa đảo trên không gian mạng.
Tín nhiệm mạng | Một sự cố an ninh mạng đã làm tê liệt các hoạt động của hệ thống khách sạn quốc tế Meliá, một trong những chuỗi khách sạn lớn nhất thế giới đang điều hành hơn 370 khách sạn tại hơn 40 quốc gia.