3倍积分奖励！抖音敏感数据专测上线！

专测时间

7月29日-8月15日

专测范围

账号体系

抖音账号组（头条账号组的敏感数据不在专测奖励范围内）

资产范围

敏感数据范围

个人用户数据：

真实姓名、身份证号、联系方式（手机号、邮箱）、住址或poi信息、照片、银行卡号、完整交易信息（含详细购买记录、资金流水等）、账号密码、私密视频、私密直播间信息等

商家数据：

银行卡号、身份证图片（非打码）、完整订单信息、（商家营业执照和法人姓名不属于敏感信息） 

达人/主播数据：

身份证号、手机号、主播与平台签约合同（必须包含分成、身份证等敏感信息，普通签约合同不算）

抖音部门业务数据：

业务身份凭据、高权限AK/SK/STS token、可直接连接的核心业务服务器/数据库账号密码    

专测奖励

严重、高危漏洞/情报享3倍积分

中危、低危漏洞/情报享有1.5倍积分

报告要求

1、本次专测只收能关联到抖音用户UID的漏洞/情报，即报告必须提供用户UID、sec_uid、或可通过某些api定位到具体用户的id。

2、若报告未提供抖音用户UID，则不享受专测奖励，将依据ByteSRC日常收取标准奖励。

🌰举例：电商订单记录能关联到具体抖音用户UID，可享受专测奖励（严重高危3倍、中低危1.5倍）；如只有电商订单记录，未关联具体抖音用户UID，则按ByteSRC日常标准奖励（无翻倍）

补充说明

1、数据泄露对应量级：【严重】>100万条、【高危】>5000条、【中低危】<1000条；非用户数据的B端数据会结合是否为公开数据即可直接获取到的、半公开数据即部分数据可公开获取到等情况定级；token、session、cookie信息会结合可操作获取到的数据信息具体定级。

2、用户数据通常需要需三个及以上字段组合才可构成敏感数据，如只单独泄露某项，无法定位关联到具体用户的，则不属于敏感信息。

3、获取方式必须来自内部提供服务的接口，第三方提供的平台服务等不属于我方敏感信息泄露。

4、不收取预期内有泄漏风险的数据，如百应平台（商家达人合作时手机号可获取）、电商联系商家场景返回的手机号、主播工会共享联系方式等不算敏感信息泄露

5、供应链中的b2b订单和采购信息不在本次专测关注范围内

测试规则

1、禁止进行可能引起业务异常运行的测试，禁止用扫描器或其他自动化工具，只允许手工测试；禁止任何类型的网络拒绝服务（DoS 或DDoS）测试或通过软件或者工具自动扫描产生大量数据流量的行为。

2、注入漏洞严禁读取表内数据，对于UPDATE、DELETE、INSERT 等注入类型，不允许使用自动化工具进行测试。（对于可能改变表数据的，需要提前报备。）

3、禁止进行内网渗透测试行为和任何有害化的测试行为，包括但不限于：获取内网权限后在内网使用扫描器、或横向接触非对外开放系统目标、获取内网应用/主机权限/数据、上传 webshell、反弹 shell等。

4、禁止下载、保存、传播和业务相关的敏感数据，包括但不限于业务服务器以及Github 等平台泄露的源代码、运营数据、用户资料、登陆凭证等，若存在不知情的下载行为，需及时说明和删除；测试过程中获取的相关代码/数据，务必在SRC漏洞确认后立即删除，不得非法留存及使用。

5、禁止进行近源攻击或者黑客物理入侵、社会工程学测试或邮件钓鱼等非技术漏洞测试，尤其是禁止使用社工库等非法手段获取用户密码。

6、越权漏洞：越权读取时能够证明读取数量即可，且读取到的真实数据不超过5组，严禁进行批量读取；请自备测试账号，敏感操作不得涉及线上正常用户的帐号（如需进一步证明危害，请咨询管理员得到同意后进行测试。）

7、针对业务线专测：专测开始前需和运营报备即将使用的C2的IP地址，未及时报备将视为未授权攻击行为，会影响最终漏洞奖励；禁止盗用、借用、售卖测试账号，不得擅自修改账号密码、换绑手机号、添加子账号等；禁止利用测试账号对专测范围外的产品和业务测试；测试账号仅限专测时间内使用。

8、禁止使用任何违反平台规定或法律法规的文字、图片、视频作为测试素材。

9、当您在进行重要敏感操作前，请先与管理员报备，得到授权后再进一步测试。

11、关于AK/SK泄露相关报告，请直接将AK/SK信息提交到平台即可，将由审核验证和确认影响范围及等级，严禁自行深入业务验证危害。

12、根据违规情节严重程度，针对违规人员将采取以下3种处罚措施：

-取消单个漏洞/情报奖励，已发放的奖励将追回。

-半年内违规两次，封禁账号（您将不能再参加字节的任何奖励计划项目）

-未遵守《网络安全法》，利用安全漏洞进行破坏、损害系统及用户的利益的攻击行为，我们保留追究法律责任的权利。