专测时间
7月29日-8月15日
专测范围
账号体系
抖音账号组(头条账号组的敏感数据不在专测奖励范围内)
资产范围
敏感数据范围
个人用户数据:
真实姓名、身份证号、联系方式(手机号、邮箱)、住址或poi信息、照片、银行卡号、完整交易信息(含详细购买记录、资金流水等)、账号密码、私密视频、私密直播间信息等
商家数据:
银行卡号、身份证图片(非打码)、完整订单信息、(商家营业执照和法人姓名不属于敏感信息)
达人/主播数据:
身份证号、手机号、主播与平台签约合同(必须包含分成、身份证等敏感信息,普通签约合同不算)
抖音部门业务数据:
业务身份凭据、高权限AK/SK/STS token、可直接连接的核心业务服务器/数据库账号密码
专测奖励
严重、高危漏洞/情报享3倍积分
中危、低危漏洞/情报享有1.5倍积分
报告要求
1、本次专测只收能关联到抖音用户UID的漏洞/情报,即报告必须提供用户UID、sec_uid、或可通过某些api定位到具体用户的id。
2、若报告未提供抖音用户UID,则不享受专测奖励,将依据ByteSRC日常收取标准奖励。
🌰举例:电商订单记录能关联到具体抖音用户UID,可享受专测奖励(严重高危3倍、中低危1.5倍);如只有电商订单记录,未关联具体抖音用户UID,则按ByteSRC日常标准奖励(无翻倍)
补充说明
1、数据泄露对应量级:【严重】>100万条、【高危】>5000条、【中低危】<1000条;非用户数据的B端数据会结合是否为公开数据即可直接获取到的、半公开数据即部分数据可公开获取到等情况定级;token、session、cookie信息会结合可操作获取到的数据信息具体定级。
2、用户数据通常需要需三个及以上字段组合才可构成敏感数据,如只单独泄露某项,无法定位关联到具体用户的,则不属于敏感信息。
3、获取方式必须来自内部提供服务的接口,第三方提供的平台服务等不属于我方敏感信息泄露。
4、不收取预期内有泄漏风险的数据,如百应平台(商家达人合作时手机号可获取)、电商联系商家场景返回的手机号、主播工会共享联系方式等不算敏感信息泄露
5、供应链中的b2b订单和采购信息不在本次专测关注范围内
测试规则
1、禁止进行可能引起业务异常运行的测试,禁止用扫描器或其他自动化工具,只允许手工测试;禁止任何类型的网络拒绝服务(DoS 或DDoS)测试或通过软件或者工具自动扫描产生大量数据流量的行为。
2、注入漏洞严禁读取表内数据,对于UPDATE、DELETE、INSERT 等注入类型,不允许使用自动化工具进行测试。(对于可能改变表数据的,需要提前报备。)
3、禁止进行内网渗透测试行为和任何有害化的测试行为,包括但不限于:获取内网权限后在内网使用扫描器、或横向接触非对外开放系统目标、获取内网应用/主机权限/数据、上传 webshell、反弹 shell等。
4、禁止下载、保存、传播和业务相关的敏感数据,包括但不限于业务服务器以及Github 等平台泄露的源代码、运营数据、用户资料、登陆凭证等,若存在不知情的下载行为,需及时说明和删除;测试过程中获取的相关代码/数据,务必在SRC漏洞确认后立即删除,不得非法留存及使用。
5、禁止进行近源攻击或者黑客物理入侵、社会工程学测试或邮件钓鱼等非技术漏洞测试,尤其是禁止使用社工库等非法手段获取用户密码。
6、越权漏洞:越权读取时能够证明读取数量即可,且读取到的真实数据不超过5组,严禁进行批量读取;请自备测试账号,敏感操作不得涉及线上正常用户的帐号(如需进一步证明危害,请咨询管理员得到同意后进行测试。)
7、针对业务线专测:专测开始前需和运营报备即将使用的C2的IP地址,未及时报备将视为未授权攻击行为,会影响最终漏洞奖励;禁止盗用、借用、售卖测试账号,不得擅自修改账号密码、换绑手机号、添加子账号等;禁止利用测试账号对专测范围外的产品和业务测试;测试账号仅限专测时间内使用。
8、禁止使用任何违反平台规定或法律法规的文字、图片、视频作为测试素材。
9、当您在进行重要敏感操作前,请先与管理员报备,得到授权后再进一步测试。
11、关于AK/SK泄露相关报告,请直接将AK/SK信息提交到平台即可,将由审核验证和确认影响范围及等级,严禁自行深入业务验证危害。
12、根据违规情节严重程度,针对违规人员将采取以下3种处罚措施:
-取消单个漏洞/情报奖励,已发放的奖励将追回。
-半年内违规两次,封禁账号(您将不能再参加字节的任何奖励计划项目)
-未遵守《网络安全法》,利用安全漏洞进行破坏、损害系统及用户的利益的攻击行为,我们保留追究法律责任的权利。
