跳到主要內容區塊 :::
主(協)辦單位 內政部

數位身分識別證(New eID )賞金獵人活動計畫 (草案 )

發布於 2020-12-21 截止於 2021-01-01

討論(尚餘0天)

留言總數 7留言 5 已關注

New eID

壹、活動緣起
為解除民眾對於新式身分證(New eID)的資安疑慮,專案團隊於小規模試行換發前,將進行源碼檢測、第三方滲透測試及弱點掃描並進行修補;另將於New eID試行期間,邀請知名資安團隊於測試環境進行駭客攻擊檢測,並開放自願之民眾報名找漏洞拿獎金,以完善New eID系統安全整備。


貳、活動目標 
公開舉辦賞金獵人活動,讓活動參加者進行各種竊聽、提權、掛馬、竄改、竊取等攻擊行為,挖掘出各種可能的漏洞,並在之後做漏洞修補,讓民眾放心使用新式身分證。


參、活動說明  
一、測試範疇
(一)New eID晶片。
(二)API應用程式。
(三)New eID申辦區網站。
(四)New eID服務專區網站。
(五)New eID系統環境。
二、參加資格
活動分兩階段進行。
(一)第一階段
1.採邀請參加制。
2.邀請國際知名國內資安公司參加,資格條件則一如下:
(1)曾經在國內外bug bounty拿過漏洞獎勵獎金。(需檢附獎金影本證明文件)。
(2)曾經參與國內外資安競賽且得過名次(如 DEFCON、HITCON CTF 等)。(需檢附比賽或是獎狀影本證明文件)
3.持測試卡使用New eID系統的UAT測試環境(地點:文心機房)進行測試。
(二)第二階段
1.採自願報名參加制,無名額限制且不限資安專業。
2.不限國籍,資格條件如下:
(1)個人與團隊等均可報名參加;限使用自然人憑證IC卡報名。
(2)每人限報名一隊,團隊每隊成員最多6名。
(3)擔任本競賽評審委員與實際執行本次活動與平台開發相關之人員(含子公司與承商)不得報名。
3.本國人發給正式卡(為參賽者本人New eID數位身分證),皆使用New eID系統正式環境。
4.外國人發給測試卡,皆使用New eID系統測試環境。
5.正式卡(New eID數位身分證)如損毀,請參賽者自行申辦換卡及繳交換證規費相關事宜。
三、獎勵方式
(一)第一階段:獎金總額為新臺幣壹佰萬元。
1.第一名:獎金新臺幣伍拾萬元。
2.第二名:獎金新臺幣參拾萬元。
3.第三名:獎金新臺幣貳拾萬元。
(二)第二階段:獎金總額為新臺幣壹佰萬元。
按漏洞等級頒發獎金(請參照漏洞評分與給獎金額標準表4-1)。
(三)特別貢獻獎:獎金總額為新臺幣壹仟萬元。
1.若可複製一張相同的新一代國民數位身分證(含New eID晶片)正式卡並可以透過複製卡找出另外(非本人)國民的身分加密區資料:獎金新臺幣伍佰萬元。
2.若可偽造一個數位簽章(如自然人憑證或New eID公開區)並通過驗證者,提供相關偽造證明:獎金新臺幣伍佰萬元。
(四)流程改進獎:獎狀。


肆、活動時程(暫定)
一、第一階段
(一)時間:110年3月2日至3月31日止。
(二)得獎公告:110年5月17日。
二、第二階段
(一)時間:110年5月3日至6月18日止。
(二)得獎公告:110年6月30日。

伍、活動規則
一、提報方式(暫定)
(一)第一階段
將漏洞報告寄至本活動客服信箱。
(二)第二階段
使用本活動建置之漏洞通報平台通報漏洞。
二、評分標準
(一)評審委員會
1.邀請行政院唐鳳政務委員擔任評審長。
2.邀請產、官、學界的資訊安全專業人士組成評審委員會。
(二)針對受測的New eID晶片、系統及網站,不同等級的漏洞給予不同的分數。分級的標準,本活動將以 Google漏洞獎勵計劃(VRP)規則(Google Vulnerability Reward Program Rules)分類,類別分為以下五類:
1.Remote code execution。(遠端命令執行)
2.Unrestricted file system or database access。(任意存取檔案系統或資料庫)
3.Logic flaw bugs leaking or bypassing significant security controls。(邏輯錯誤、繞過驗證機制)
4.Execute code on the client。(攻擊客戶端)
5.Other valid security vulnerabilities。(其餘安全漏洞)
(三)第二階段活動參賽者,發現資訊系統流程問題(非資安),並提出具體建設性之建議,發予流程改進獎獎狀。

             評分與給獎金額標準參考如下表4-1:

類別
Category

範例
Examples

允許接收帳戶的應用程序[1]
Applications that permit taking over a Google account [1]

其他高敏感應用程式
Other highly sensitive applications [2]

一般性的應用程式
Normal applications

非整合性穫得和其他沙箱或優先級較低的應用程序
Non-integrated acquisitions and other sandboxed or lower priority applications

遠端命令執行
Remote code execution

Command injection, deserialization bugs, sandbox escapes

$20,000

$20,000

$20,000

$2,000

任意存取檔案系統或資料庫
(包含卡片加密區)
Unrestricted file system or database access

Unsandboxed XXE, SQL injection

$20,000

$20,000

$20,000

$2,000

邏輯錯誤、繞過驗證機制Logic flaw bugs leaking or bypassing significant security controls

Direct object reference, remote user impersonation

$20,000

$10,000

$7,000

$3,000

攻擊客戶端
Execute code on the client

Web: Cross-site scripting

$7,500

$5,000

$3,000.00

$1,000

Mobile / Hardware: Code execution

其餘安全漏洞
Other valid security vulnerabilities

Web: CSRF, Clickjacking

3000

2000

2000

$1,000

Mobile / Hardware: Information leak, privilege escalation

例如,對於民眾可以接觸的網站媒體資源,這包括New eID民眾服務專區/戶役政全球官網中的某些漏洞。
[1] For example, for web properties this includes some vulnerabilities in .

例如,驗證授權/金鑰管理/證件簽署等高敏感資訊
[2] This category includes products such as verify authorization/key management/certificate signing and other highly sensitive information

 

陸、活動注意事項    
一、參加者須簽屬保密協議書,並自願擔負風險切結及法律應遵循事項。
二、參加者可以自行準備相關軟體及工具以進行服務測試。
三、參加者禁止與它隊分享漏洞,若有抄襲舞弊等情事,經評審團調查認定,將予註銷相關通報弱點分數,情節嚴重者將取消其比賽資格。
四、主辦單位對成功提交漏洞的參加者之個人技術能力表示認可,但不認為活動結果與參加者所屬機構之技術能力存在對應關係,亦不認為活動結果能直接反映相關軟體或設備的安全水準。
五、刻意的 DDoS 行為或任何妨礙競賽進行之行為,包含造成系統或是網站損毀而無法讓賽事繼續進行時,則取消參加資格並將其公告於網站。
六、主辦單位將要求參加者將漏洞細節完整的至漏洞通報平台回報,由平台收到之後進行評審過程,參加者不得隱匿或於非本競賽期間公佈系統漏洞,且不會利用漏洞資料進行任何額外利用,也不會透露給活動方以外的第三方,違者將依法處理。依程序取得主辦方同意公佈則不在此限。
七、主辦單位承諾在未經參加者同意的情況下,不會將參加者個人資訊透露給第三方,也不會利用參加者個人資訊及隱私從事任何商業活動。
八、參加者內部分工或權益分配(如獎金領取及分配),若有任何爭執疑問,應由團隊應自行處理,主辦及執行單位不涉入爭議。
(一)領獎者須依中華民國稅法規定繳納稅金;且得獎者需依規定填寫並繳交相關單據〈如領獎單〉方可領獎,若未配合者,則視為放棄獲獎資格。
(二)得獎獎金在新臺幣2萬元〈含〉以上者,得獎者必須依規定扣繳 10%中獎所得稅額,始得領獎。
九、主辦單位保留變更活動內容的權利。
十、為提供本活動相關服務,並確保參加者權益,將遵循個人資料保護法及相關法令之規定,蒐集、處理及利用參加者所提供之個人資料,包括 E-mail、姓名、性別、出生年月日、身分證字號、服務單位、通訊住址、電話等資訊。
十一、參加者就其個人資料得依個人資料保護法第三條之規定,行使、查詢或請求閱覽、請求製給複製本、補充或更正、停止蒐集、處理、利用與刪除等權利。
十二、參加者得自由選擇是否提供個人資料或行使個人資料保護法第三條所定之權利,但如提供資料不足或有其他冒用、盜用、不實之情形,參加者可能因此無法參加本活動及影響各項相關服務或權益。

柒、評審委員會委員遴選規則
一、為辦理賞金獵人比賽與漏洞獎勵事項,應就賞金獵人活動漏洞評分成立評審委員會(以下簡稱本委員會):
(一)本委員會應於賞金獵人比賽前成立,並於完成評選事宜且無待處理事項後解散,其任務如下:
1.依照Google VRP規則審定漏洞嚴重性評定等級,並依等級進行評分、評審標準及評定方式。
2.漏洞嚴重性等級之分數評定。
3.協助活動解釋與評審標準、評選過程或評選結果有關之事項。
(二)本委員會置委員五人以上,由主辦單位就具有與資安相關專門知識之人員派兼或聘兼之,其中需包含官、產、學三方專家、學者人數不得少於三分之一。前項產業專家、學者之委員,不得為政府機關之現職人員;專家、學者以外之委員,得為機關之現職人員,並得包括其他機關之現職人員。各專家或學者參與評選者,得依規定支付相關服務費用。
(三)前項專家、學者,由主辦單位提供具有與資安背景相關專門知識之人員名單,簽報內政部首長或其授權人員核定。前項建議名單,由主辦單位公開於資訊網路,供民眾參考。
(四)所有本委員會委員,不得有下列情形:
1.接受請託或關說。
2.接受舉薦自己為委員者。
3.為特定廠商利益而為遴選。
4.遴選不具有與資安相關專門知識者。
5.明知操守不正而仍為遴選。
6.其他經主管機關認定者。
(五)有下列各款情形之一者,不得遴選為本委員會委員:
1.犯貪污或瀆職之罪,經判刑確定者。
2.褫奪公權尚未復權者。
3.受破產宣告確定尚未復權者。
4.專門職業人員已受停止執行業務或撤銷執業執照之處分者。
(六)本委員會成立後,其委員名單應即公開於指定之資訊網站;委員名單有變更或補充者,亦同。但經機關衡酌個案特性及實際需要,有不予公開之必要者,不在此限。機關公開委員名單者,公開前應予保密;未公開者,於開始評選前應予保密。本委員會置評審長一人,綜理評選事宜;副評審長一人,襄助評審長處理評選事宜。評審長、副評審長均為委員,由機關首長或其授權人員指定委員擔任,或由委員互選產生之;評審長由機關內部人員擔任者,應由一級主管以上人員任之。本委員會會議,由評審長召集之,並為主席;評審長未能出席或因故出缺時,由副評審長代理之。
(七)本委員會成立時,一併成立三人以上之工作小組,協助本委員會辦理與評選有關之作業,其成員由機關首長或其授權人員指定機關人員或專業人士擔任,且至少應有一人具有資安專業人員資格。
(八)本委員會開會時,辦理評選作業之承辦人員應全程出席,並得邀請有關人員、學者或專家列席,協助評選但最終由評審決定。
(九)本委員會如有對外行文之需要,應以成立機關名義行之。 

捌、漏洞揭露與獎勵方案
一、漏洞揭露規則
參加者向主辦單位回報安全漏洞時須謹守以下政策,主辦單位將不會在處理回報內容時對參加者提出訴訟,或要求執法機關對參加者進行調查。
1.參加者應同意主辦單位有足夠的時間調查與解決問題,再行公佈任何有關回報內容的資訊,或是向他人透露相關資訊。
2.參加者未經帳號持有人同意,請勿與非持有之該帳號互動(包括修改或存取該帳號的資料)。
3.參加者應秉持善意,避免侵犯他人隱私或干擾他人,包括(但不限於)未經授權存取或毀損資料,及導致主辦單位的服務中斷或品質下降。
4.無論基於何種理由,參加者皆不得利用發現的安全漏洞為自己謀利(例如試圖侵入本系統的機密資料或探尋其他問題等會導致額外風險的行為)。
5.嚴禁蓄意違反任何適用法律或法規,包括(但不限於)禁止未經授權即存取資料的法律和法規。
6.基於本政策之目的,參加者無權存取用戶資料或部內資料,包括(但不限於)可識別自然人的相關個人識別資訊與資料。
7.刻意的DDoS行為或任何妨礙競賽進行之行為將被取消比賽資格。
8.參加者須將漏洞的細節完整的至漏洞通報平台回報,由平台收到後進行評審過程,參加者不得隱匿或於非本競賽期間公佈系統漏洞,且不得利用漏洞資料進行任何額外利用,也不得透露給主辦單位以外的第三方,違者將依法處理。依程序取得主辦單位同意公佈者則不在此限。
二、獎勵方案範疇
若要符合獎勵資格,參加者須回報以下任何符合資格項目的安全漏洞:
1.New eID晶片。
2.API應用程式。
3.New eID申辦區網站。
4.New eID服務專區網站。
5.New eID系統環境。
非在此次範疇內的相關服務(例如:內政部綠色便民服務),則不符合抓漏獎勵方案的參與資格。雖然主辦單位相當重視安全漏洞對服務品質帶來的影響,仍無法給予計分。
如果與此次範疇外所整合的第三方應用程式或網站(包括apps.上的大多數專頁)出現安全漏洞,此類情況通常不在抓漏獎勵方案的範疇之內。目前,非在此次範疇內的相關服務(例如:內政部綠色便民服務),則不符合抓漏獎勵方案,唯一的例外情況是導致未經授權的實體可存取權限的安全漏洞。
主辦單位接受此類安全漏洞的回報,但前提是在使用該應用程式或網站時,被動地瀏覽裝置所傳送或接收的資料而發現該漏洞。參加者不得更改任何傳送到漏洞通報平台的介面,也不得干擾與所回報內容相關之應用程式或網站功能的正常運作。(嚴格來說,SQLi、XSS、開放式重新導向或略過權限檢查的安全漏洞,例如 IDOR皆不屬於本方案範疇之內)。此外,除了給予團隊的帳密之外,參加者不得存取其他參加者帳號的資料或使用其存取權杖。
三、獎勵方案範疇例外狀況
1.【不屬於方案範疇】
(1)以垃圾資訊或社交工程技術來得取任何權限與漏洞。
(2)拒絕式服務攻擊。
(3)內容注入攻擊。在New eID申辦區與服務專區上發佈內容是一項核心功能,而內容注入(亦稱為「內容詐騙」或「HTML 注入」)則不符合回報資格,除非您可以明確指出這屬於重大風險。
(4)在沙箱模式的網域中(例如 fbrell.com 或 fbsbx.com)執行指令碼。
2.【誤判】
(1)開放式重新導向。任何使用主辦單位系統的重新導向都不屬於開放式重新導向。
(2)傳送資訊給任何民眾與機關用戶。
(3)透過主辦單位提供的原始圖像網址存取相片(外部連結)。
(4)密碼不分大小寫。主辦單位接受全大寫的密碼或第一個字元大寫,以避免用戶登入遇到問題。
四、獎勵方案條款
賞金獵人回報服務漏洞,藉此確保用戶安全受到保障,其行為將會受到主辦單位的表彰和獎勵。此類回報的獎金額度,將由主辦單位根據風險、影響及其他因素全權決定。若要符合獎勵資格,您必須先達到以下要求:
1.遵守上述漏洞揭露責任政策。
2.回報安全漏洞:換言之,找出可能會產生安全或隱私風險的服務或基礎架構漏洞。(請注意,經回報的安全漏洞是否造成風險最終將由主辦單位自行判斷,許多軟體問題並不屬於安全漏洞的範疇。)
3.參加者回報的問題必須與下方「抓漏獎勵方案範疇」列出的任一產品或服務有關。
(1)New eID晶片。
(2)API應用程式。
(3)New eID申辦區網站。
(4)New eID服務專區網站。
(5)New eID系統環境。
4.主辦單位特別排除某些類型的潛在安全漏洞;詳情請參見上方「不屬於方案範疇」和「誤判」所列出的項目。
5.透過「回報安全漏洞」表單回報(每份表單僅可回報一項漏洞),若要更新內容請直接在這份回報中提出。請勿直接聯絡員工,或透過其他回報管道進行聯繫。
6.如果參加者在進行調查時不慎侵犯他人隱私(如存取帳號資料、服務設定或其他機密資訊),請務必在回報內容中披露相關情事。
7.調查漏洞期間,請使用測試帳號。未經同意,請勿與其他帳號互動。
8.相對地,評估抓漏獎勵方案中的回報時,主辦單位也會遵循以下方針:
(1)主辦單位會調查所有有效回報,並給予適當回應。由於收到的回報數量龐大,須依據風險及其他因素來排定優先評估的案子,因此回覆之前需要一定的處理時間。
(2)獎勵額度取決於各種因素,包括(但不限於)影響程度、漏洞嚴重性,以及回報內容的真實性。請注意,如果漏洞所導致的風險極低,可能就不符合獎金資格。
(3)若出現重複揭露,主辦單位會以第一時間在通報網站上通報的團隊為主。(檢舉內容重複與否由評審團隊認定,其他檢舉的詳細資料恕無法對外提供。)
(4)獎金可透過主辦單位捐給認可的慈善機構。
(5)主辦單位保留公佈回報內容(及相關更新資訊)的權利。
(6)主辦單位會公佈已有效回報安全漏洞的研究人員名單。參加者必須符合獎勵資格才能列入此名單,但可自行選擇是否成為名單的一員。如果名單列出參加者的姓名,主辦單位將保留限制或修改相關資料的權利。


展開
另開新視窗前往全民來join粉絲團