安全漏洞回報獎勵計畫

最後更新日期:2024/08/14

一、活動訊息公告
  • 本公司的漏洞懸賞活動即日起開跑,歡迎各方好手熱情參與!
  • 參加資格: 持有本國國民身分證者並年滿 18 歲即可參加本次活動。
  • 本公司保留隨時修改、變更、暫停或者終止本活動內容之權利,並公告於活動網頁,恕不另行通知。
二、通報流程
  1. 請您發現漏洞後依據規範(詳閱三、通報規範)書寫並寄至 bugbounty@ecpay.com.tw
  2. 本公司將於 20 個工作天內回覆您並根據漏洞嚴重性儘速修正問題。
  3. 漏洞修正完成後將通知您協助複測。
  4. 根據您提交的通報審核獎金額度(詳閱四、獎金說明)後匯款至您的帳戶。
三、通報規範
  1. 未經個人帳號持有人同意,請勿與該帳號互動(包括修改或存取該帳號的資料)
  2. 您能秉持善意,盡力避免侵犯他人隱私或干擾他人,包括(但不限於)未經授權存取或毀損資料,及導致我們的服務中斷或品質下降。
  3. 無論基於何種理由,您皆不得利用發現的安全漏洞為自己謀利(例如試圖侵入公司的機密資料或探尋其他問題等會導致額外風險的行為)。
  4. 請勿蓄意違反任何適用法律或法規,包括(但不限於)禁止未經授權即存取資料的法律和法規。
  5. 基於本政策之目的,您無權存取用戶資料或公司資料,包括(但不限於)可識別自然人的相關個人識別資訊與資料。
  6. 請勿使用自動化掃描工具。
  7. 通報請包含以下內容:(倘若檔案壓縮後超過10Mb ,請切割檔案批次寄出)
    • 信件標題:漏洞提報-漏洞名稱-具有漏洞之功能-提報者姓名 (例如:漏洞提報-injection-會員資料修改-綠小界)
    • 信件內容:
      • 姓名
      • 電話
      • 聯絡郵件
      • 學校/公司名稱
      • IP位址 (請提供所有刺探當下使用的IP Address)
      • 漏洞名稱
      • CVSS評分
      • 漏洞說明
      • 探測網址(Target) (例如 https://www.ecpay.com.tw/AAA/BBB?C=D)
      • 概念性驗證(PoC) 或攻擊程式(Exploit) 說明,包含攻擊軟體、參數或自行撰寫之攻擊程式碼
      • 修補建議
      • 備註
四、獎金說明 

您必須符合下列所有條件,才有資格獲得獎金:

  • 您是具有本國國民身分證者且年滿18歲的台灣人民。
  • 您是第一位回報特定漏洞的通報者,若出現重複通報,我們會將獎金頒發給首位通報者。通報內容是否重複由綠界科技認定,其他通報的詳細資料恕無法對外提供。頒發的獎金僅可支付給一人。
  • 您是透過本公司唯一管道E-mail (bugbounty@ecpay.com.tw)提交通報。
  • 您回報的通報經確認為可驗證、重現且符合獎勵資格的漏洞,請提供充足資訊以重現您所回報的問題 。
  • 您在進行調查時如不慎侵犯他人隱私(如存取帳號資料、接觸其他機密資訊),請務必在回報內容中披露相關資料。
  • 請勿使用自動化掃描工具。
  • 非綠界科技相關服務,則不符合漏洞披露獎勵方案的參與資格。
  • 非綠界科技或集團相關公司僱員。
  • 您遵守本計畫的所有條款和規定。
  • 隨時間與現實條件改變,過去的獎勵方式不見得適用於未來的獎勵制度。
  • 綠界科技保留公佈回報內容和相關更新資訊的權利。

【依所得稅法規定,獎金在NT$20,000(含)以上者,依法扣繳10%所得稅】

獎金金額將視所回報漏洞的嚴重性而定:
嚴重程度獎金額度 (NTD) 漏洞影響說明

嚴重程度

獎金額度

漏洞影響說明

嚴重

50,000元~100,000 元並公布於致謝名單

任何由本公司對外服務系統,造成交易或其他核心系統嚴重影響之攻擊行為。

20,000元~50,000 元並公布於致謝名單

於本次活動範圍內對本公司對外服務系統,造成嚴重影響之任何攻擊行為。

5,000元~20,000 元並公布於致謝名單

於本次活動範圍內,對本公司對外服務系統,造成實質影響之任何攻擊行為。

公布於致謝名單

發現任何符合 OWASP Top 10 (2017、2021) 之漏洞且並未對服務系統造成任何實質影響或資安風險較低者。

下列攻擊手法不在本次活動範圍:

  • 未詳述安全問題影響的安全漏洞掃描報告
  • 實體存取使用者設備 (Physical access to a user’s device)
  • 社交工程 (Social engineering)
  • 中間人攻擊 (MITM attacks)
  • 阻絕服務 (DoS / DDoS / Fuzzing / High-Bandwidth) 攻擊
  • 垃圾訊息 (Spam)
  • 僅影響過時網頁瀏覽器的安全問題
  • 反射型 XSS 攻擊, Self XSS 攻擊
  • 理論性漏洞,而非有實際攻擊程式碼
  • 非暴露敏感資訊之錯誤訊息
  • 大多數類型的暴力攻擊
  • Session fixation
  • 非嚴重影響之 Cross-Site Request Forgery (CSRF)
  • 登入/登出 CSRF
  • 缺乏 security header(s) 或非最佳實作
  • 非嚴重影響之 httponly, secure flag
  • 不安全的 SSL/TLS 加密套件或通訊協議版本
  • 非 email 最佳實作 (無設定或不完整的 SPF/DKIM/DMARC 紀錄等)
  • 非嚴重影響之 Clickjacking, Open redirect
  • 暴力列舉使用者名稱、Email、手機號碼等
  • 非帶有敏感資訊的系統監看網頁
  • 任何測試帳號相關的問題
  • 不可歸責於綠界科技的資安問題
五、檢測範圍 
  • creditvendor.ecpay.com.tw
  • ecpayment.ecpay.com.tw
  • ecpg.ecpay.com.tw
  • ecticket.ecpay.com.tw
  • ectvendor.ecpay.com.tw
  • einvoice.ecpay.com.tw
  • login.ecpay.com.tw
  • logistics.ecpay.com.tw
  • member.ecpay.com.tw
  • p.ecpay.com.tw
  • p.ecticket.tw、stage.ecticket.tw
  • pay.ecpay.com.tw
  • payment.ecpay.com.tw
  • signalr.ecpay.com.tw
  • vendor.ecpay.com.tw
  • www.ecpay.com.tw
  • 檢測範圍對應的測試站台(stage) ,如 www-stage.ecpay.com.tw、vendor-stage.ecpay.com.tw 等

綠界科技有權隨時更改以上清單,恕不另行通知。

六、審核機制
  • 本公司資安負責單位會針對您回報的安全性漏洞造成系統實際影響程度審核獎金金額。
  • 若有多個弱點之通報請分別通報,除非為同一系統的連續攻擊行為得合併通報。
  • 若提交之通報為針對同一系統的連續攻擊行為,將視為同一則通報合併審核。
七、漏洞的揭露政策
  • 請提供完整詳細的漏洞說明(例如:網址連結或參數),以及對網站系統影響提出佐證(例如:於發動攻擊前、後之對照畫面),並包含可重現漏洞的步驟,請務必於通報中完整說明,將由您提交的通報內容判定獎金額度,結果通知後再提出佐證則不予以採納。
  • 您通報的漏洞在不影響公司信譽及服務正常運行下,本公司不會採取任何的法律行為。
  • 您通報的漏洞不得公開揭露,取得的系統資料或是個人資料,均不得洩漏,如有違反「營業秘密法」、「公平交易法」等相關之法規內容,除依其情形負刑事責任外,對於本公司因而所致之一切損失,均應依實際損失情形負起全部之損害賠償責任。
八、與我們聯繫

本公司漏洞懸賞活動窗口 bugbounty@ecpay.com.tw,所有安全漏洞相關的詢問均應發送至 bugbounty@ecpay.com.tw,使用其他方式發出的詢問皆不會收到任何回應,如非安全漏洞相關問題不會進行回覆,非安全漏洞問題請至聯絡客服頁面進行詢問。