where to submit the report
最近發現一個銀行的簡單安全性問題,想要回報時發現找不到地方聯絡管道。 這時候才認真覺得銀行不愧是傳統產業…
Submit Report
依照之前的過往經驗、如果發現某公司的資訊安全漏洞會先:
- 找官網上的聯絡方式、看有沒有問題回報的方式
- 透過關鍵字搜尋 xxx security vulnerabilities submit、就可以找到像是 Facebook 或 Intel
- 透過 HackerOne 或 Bugcrowd 看公司是否有在上面註冊
Taiwan Company
順手整理一下台灣市值 50 大公司 中前十大的聯絡方式:
| 公司名稱 | 聯絡方式 (官網) | 關鍵字 | 回報平台 |
|---|---|---|---|
| 2330 台積電 | 聯絡我們 | N/A | HackerOne |
| 2317 鴻海 | 聯絡我們 | N/A | N/A |
| 2454 中華電 | 意見信箱 | ZeroDay | N/A |
| 6505 台塑化 | 聯絡我們 | ZeroDay | N/A |
| 2308 台達電 | 聯絡我們 | 正式管道 | N/A |
| 2881 富邦金 | 聯絡我們 | N/A | N/A |
| 2882 國泰金 | 聯絡我們 | N/A | N/A |
| 1303 南亞 | 聯絡我們 | N/A | N/A |
| 2303 聯電 | 聯絡我們 | N/A | N/A |
很不意外的、上面公司從官網都找不到合適的聯絡方式。 尤其是富邦金控還需要填入身分證字號才能回報問題、感覺上在回報問題上有更高的門檻。
比較有趣的事情:台達電的漏洞回報似乎只有提供英文版本,使用中文基本找不到對應的資料。