獎勵計畫適用範圍

獎勵計畫僅接受與 IEI 產品及網站服務相關的安全問題回報。未涵蓋在此計畫範圍的安全問題回報將不給予獎金;然而,我們將視情況接受非本計畫範圍以內,但嚴重性高且重要的安全問題回報。

系統軟體

IEI 開發的系統軟體:搭載於 IEI 產品,由 IEI 開發設計之系統軟體

系統軟體

官方網站

IEI 官方網站, 不含第三方體與開源軟體

官方網站

如何回報安全問題與漏洞

請使用下列 PGP 公開金鑰將電子郵件訊息加密,並傳送至 security@ieiworld.com,IEI PSIRT 會主動聯絡研究員以確認提交資料。

弱點通報建議格式範例

系統軟體
IEI官方網站

PGP 代碼

回報問題

獎勵資格標準

icon

您必須是第一位回報安全漏洞的研究人員。

icon

您尚未向公眾披露此安全漏洞。

icon

您回報的安全漏洞經 IEI 內部人員確認為可驗證、可重現、且符合獎勵資格的漏洞。

icon

你完全同意並遵守獎勵計劃

獎勵額度保有調整空間,具體取決於:

  • 遵循弱點通報建議格式範例:請提供必要且充分的弱點通報資訊,建議格式:系統軟體格式範例、IEI 官網格式範例
  • 複製步驟:清楚詳盡的複製步驟。
  • 問題描述:條理清晰,內容段落編排清楚的安全漏洞報告。
  • 補充資訊:弱點通報建議格式範例中建議的項目,或其他有用資訊,例如:測試代碼、腳本,或其他詳細說明。
  • 請以文字形式完整提供攻擊封包 (exploit payload) 原始資訊:僅提供圖檔的封包資訊,IEI PSIRT 團隊不保證可以正確複製,在無法重現有效攻擊的情況下,弱點認定可能失效。
  • 1

    獎勵計畫中的獎金額度是如何被衡量的?

    獎勵機制與獎金額度由 IEI PSIRT 成員組成的獎勵委員會考慮以下因素決定:成功利用漏洞的複雜性,安全漏洞的威脅性包含受影響的用戶和系統的百分比。

  • 2

    我可以採用影片的方式寄送概念性驗證 (Proof-of-Concept) 嗎?

    可以,如果透過影片可以讓人更容易理解弱點如何被利用,獎勵委員可能因此提高獎勵。請注意書面文件資訊是必須的(例如: PoC 概念證明文件及完整說明),如此有助弱點節漏流程的管理。

  • 3

    弱點通報須包含哪些資訊?

    弱點通報至少必需包含:弱點所在的產品名稱,版本及版號或是雲端服務的網址位置、關於漏洞潛在威脅的摘要,以及詳盡清晰的複製步驟,並可搭配影片以重現漏洞。

  • 4

    如何得知我所回報的問題已成功被資安團隊接收

    請使用 IEI 提供的 PGP Key 加密,將報告寄至 security@ieiworld.com。系統會自動回覆技術申請單號,研究員未來可以用此單號查詢審查進度。IEI PSIRT 團隊會主動聯絡研究員,並確認提交資料內容完整性。若資料已完整提供,一週內研究員將會收到 IEI PSIRT 弱點確認信。獎金提案則會於弱點確認信寄送日四週後以 email 通知。如果研究員同意,IEI 預計於收到確認回覆之十二週後進行匯款。