—漏洞处理流程和
评分标准6.0版—
唯品会安全应急响应中心出台了《漏洞处理流程和****评分标准6.0版》,此版与V5.0版本相比有很多变动,漏洞接收范围新增了隐私合规风险和安全情报。
完整版请点击文末阅读全文查询。
PART 1
漏洞范围新增隐私合规风险
01
隐私合规风险接收范围
1.未告知用户收集个人信息的目的、方式、范围且未经用户同意,私自收集用户个人信息的行为。
2.非服务所必需或无合理应用场景,特别是在静默状态下或在后台运行时,超范围,超频次收集个人信息的行为。
3.未向用户告知且未经用户同意,私自使用个人信息,将用户个人信息用于其提供服务之外的目的,特别是私自向其他应用或服务器发送、共享用户个人信息的行为。
4.未以显著方式标示且未经用户同意,将收集到的用户搜索、浏览记录、使用习惯等个人信息,用于定向推送或广告精准营销,且未提供关闭该功能选项的行为。
5.非服务所必需或无合理应用场景下,用户拒绝相关授权申请后,应用自动退出或关闭的行为。
6.用户明确拒绝权限申请后,频繁弹窗、反复申请与当前服务场景无关权限的行为。
7.未及时明确告知用户索取权限的目的和用途,提****前申请超出其业务功能等权限的行为。
8.未向用户告知且未经用户同意,或无合理的使用场景,频繁自启动或关联启动第三方APP的行为。
9.未向用户提供账号注销服务,或为注销服务设置不合理的障碍。
10.非服务所必需或无合理场景,通过积分、奖励、优惠等方式欺骗误导用户提供身份证号码以及个人生物特征信息的行为。
02
隐私合规风险等级判断
严重等级包括:
1.与相关法律法规存在严重冲突
2. 影响特别严重,涉及核心业务,且严重侵犯用户隐私
3. 发现方式新颖,有一定的技术深度,且对我们后续合规工作用重大帮助
高危等级包括:
1.与相关法律法规存在较大冲突
2. 影响严重,涉及核心业务,且侵犯用户隐私或给用户带来较大负面影响
中危等级包括:
1.与相关法律法规存在冲突
2. 影响较大,涉及一般业务,且会给用户带来一些负面影响
低危等级包括:
1.与相关法律法规存在冲突
2. 影响存在争议或影响相对较小,基本不会给用户带来负面影响
无效等级包括:
1.已知或不具实效性的合规风险
2.不能证实、或没有明确的法律法规依据的合规风险
3.人为制造的等虚假或无效合规风险
PART 2
漏洞范围新增安全情报
严重等级包括:
核心业务系统、生产及办公网络的入侵情报。如:内网漫游、核心生产服务器入侵、核心数据库的拖库等相关线索。
**核心业务造成重大影响的威胁情报。**如:大规模套现活动、大规模唯品会账号盗取等。
**大规模敏感信息泄露并验证真实有效的情报。**如:会员详细信息、订单详细信息等。
重大0Day漏洞。如核心服务器软件、系统等未公开或半公开漏洞,核心办公软件等未公开或半公开的漏洞等;
高危等级包括:
非核心业务系统的入侵线索。
造成较大资金损失的威胁情报。例如:有组织的进行薅羊毛行为。
金融逻辑漏洞线索。如:支付相关产品的逻辑缺陷,身份信息泄露等。
中危等级包括:
一般风险的业务安全问题。如:优惠券刷取、业务规则绕过、会员权益刷取等。
**新型可利用的工具、平台并提供完整可用的工具。**如:黑产刷单工具等。
DDOS情报、攻击时间等相关线索。
低危等级包括:
低风险的业务安全问题。如:批量注册账户等。
发现针对唯品会的假冒或者钓鱼网站等
无效情报包括:
无效威胁情报是指:错误、无意义、与唯品会无关或根据供信息无法调查利用的威胁情报, 例如:
上报虚假捏造或者无法还原的情报信息。
只上报可能套现、刷取利益的聊天群,但未提供其他有效信息。
上报已失效的威胁情报。
PART 3
奖励继续
01
漏洞奖励
【贡献值】由漏洞对应的危害程度以及业务的重要程度决定,贡献值高低影响报告者在VSRC的排名。
计算公式:贡献值 = 基础贡献值 x 业务系数
02
安全币奖励
03
额外奖励
1、核心业务的严重漏洞达到100贡献值,将额外奖励1-30万人民币。
2、一般/核心业务严重漏洞、核心业务的高危漏洞及重大威胁情报,会依据实际漏洞情况判定额外奖励。
VSRC还为各位安全专家设置了丰厚的平台奖励,包括安全币和礼品兑换,个人的月度和季度奖励,以及团队奖励等。
完整版请点击阅读全文查询。
PART 4
生效时间
“该版奖励标准从即日起生效实行”
在漏洞报告处理过程中,如果报告者对流程处理、漏洞定级、漏洞评分等有异议的,可以通过以下两种方式联系 VSRC 工作人员进行及时有效的沟通:
1、 漏洞详情页面的留言板;
2、 邮箱 sec@vipshop.com;
VSRC 将按照漏洞报告者利益优先的原则处理,必要时将会引入外部安全人士共同裁定。