阿里安全应急响应中心2018 专项情 收集计划

威胁情 已不是一项新的事物，它不像漏洞那样纯技术，更加丰富多彩。ASRC于2016年5月推出《阿里巴巴集团威胁情 定级标准V2.0》，自发布以来收到了来自上百名白帽的上千条情 。

2018年，我们希望能更聚焦、更专注于业务关注的痛点情 ，故发布《2018专项情 收集计划》，相关情 我们会同比有更强的意愿接收及给出更好的奖励，并根据提交情况在年末为卓越情 专家颁发“年度情 之星”荣誉。

当然，除活动所述情 外，其他类型的各种情 也还是正常收集，可参考定级标准2.0。

一、时间：

2018年6月8日 – 2019年3月31日

二、范围：

以下情 范围均为阿里系相关情

1.数据情

在大量收集阿里经济体相关会员或交易数据的各类平台、工具及人的情 ，如批量爬取手机 、爬取会员信息、贩卖个人信息等。

2.评价相关

阿里系商品评价：能通过技术手段或其他手段影响评价体系的工具、手法等，需要有相关例子作为证明。

3.黄牛相关

黄牛软件：软件保证可用，可下载，需要提供可抢购成功的证据，需要提供软件账 。非淘系抢购软件不接收。

黄牛技术：被证明能用于突破阿里系黄牛防控的技术或者手法。

不接收的范围：

黄牛软件使用者：如单个发现某人使用黄牛软件抢购。

黄牛软件小代理：如普通的黄牛软件二级分销商，普通卖家等。

黄牛抢购情 ：发现黄牛的抢购目标之类的，或者查询抢购清单类的，当前暂不关注。

非黄牛软件情 ：使用批量付款工具的行为不属于黄牛产业链，当前暂不关注。

4.钓鱼相关

大型钓鱼站点后台地址：通过欺诈、 络劫持、seo等多种方式吸引了大量流量的钓鱼后台，积累了大量买家数据的，可以直接将相关后台进行举 ，需要证明后台有大量数据，也可以提供相关证明方式详细信息

大型钓鱼站点后台源码：市面上较为通用的钓鱼 站源码，需要有5个以上实际case证明通用性

不接收的范围：

单个钓鱼站点：单个普通钓鱼站点地址通过搜索可直接大量获取，不在我们的收集范围内

5.手机接码相关

接码软件：软件保证可用可下载（最好上传 盘），软件功能保证可取 、可取短信即可，视频也可作为证明。

接码平台：保证可访问可取

寄售平台上的手机接码相关情 ：如来自一些寄售平台上在出售的手机接码链接或软件（大多为低危）

拉新薅羊毛方法：包括但不限于IP、设备等绕过方法类情 。

6.搜索相关

能提高淘系平台商品或店铺的搜索权重、排名等数据的软件工具、技术手法、 站平台，需要保证软件、 站平台的可用性，手法类需要有证明可行的证据，包括但不限于截图、视频等。如卡位升排名卡首屏类软件、工具、平台。

基于按键精灵类的模拟点击软件或手法，不在收集范围内。

三、以上情 定级特殊规则：

除寄售平台上的手机接码相关情 外，其他类型情 一经确认危害起步为中危，具体视相关软件的使用量、涉及资金量、影响面而定。

重复上 的技术、软件、平台等情 将被驳回，软件请上传到 盘后附上链接，软件和平台需要可用、可访问。

四、无效情

无效情 是指错误、无意义或根据现有信息无法调查利用的威胁情 ，例如：

上 虚假捏造或人为制造情 信息的；

上 可能刷单、炒信的QQ群 ，且未提供其他有效信息的；

通过 工等手段诱导客服进行相关操作的；

上 已发现或失效情 的。

五、 评分标准通用原则

1. 评分标准仅适用于可威胁到阿里巴巴集团产品和业务相关的情 。与阿里巴巴集团完全无关的情 ，不计贡献值；

2. 由于情 分析调查的时间较长，因此确认周期相比漏洞的时长较长；

3. 由于情 的时效性， 告已知或已失效的情 不计分；

4. 同一情 ，首位 告者计贡献值，其他 告者均不计；

5. 涉及到与阿里巴巴安全的情 ，在情 未处理完成前公开的，不计分；

6. 非核心业务的情 等级将结合情 影响程度作降级判定；

7. 人为自行制造安全威胁或安全事件情 的不计分，同时阿里巴巴将保留采取进一步法律行动的权利。

本活动自2018年6月8日起执行，ASRC负责本活动的解释和更新。