奖金累加上不封顶!BSRC启动首次隐私安全漏洞众测
2023-7-28 15:17:13 Author: mp.weixin.qq.com(查看原文) 阅读量:4 收藏

来了!BSRC启动首次隐私安全漏洞众测~

随着个人信息滥用事件的频频发生,用户对App是否合法收集信息越来越关注。同时,监管也对App收集使用个人信息发布了认定办法。

面对互联网隐私安全问题挑战,百度安全团队肩负使命与责任,始终将保护用户隐私信息放在第一位,努力创造一个不断完善的个人信息保护机制。

在此背景下,2023年7月31日至8月13日BSRC向公众开放隐私安全漏洞众测,邀请每个人参与到隐私保护的行动中,以更好地保障用户隐私为目标,提交隐私安全漏洞,奖金累加上不封顶!

百度安全应急响应中心隐私漏洞处理标准1.0

百度密切跟进和遵从监管合规和法律法规要求,通过百度安全应急响应中心(简称 BSRC)收录隐私合规漏洞致力于更好守护百度移动产品隐私安全性,以此不断提升百度内部相关能力。本则标准描述了BSRC处理隐私漏洞报告时的具体流程和做法,同时公示了对于不同等级漏洞的奖励标准,为漏洞发现者及漏洞报告者从事漏洞发现和报告的活动提供指引。
针对提交的隐私漏洞,会有内部安全合规专家进行评审和跟进,未经允许请勿在任何公众场合或平台讨论或披露隐私漏洞的细节,不得向任何第三方透露隐私漏洞。如有上述行为,百度将有权追究其法律责任。
百度APP、百度地图、百度极速版、百度网盘、好看视频、百度输入法、百度贴吧、百度翻译、百度手机助手、萝卜快跑、百度Carlife+、小度
注:以上均指手机端APP,其他终端类型(如:平板、学习机等)暂不在本次收取范围内。
三、限制与指引
  • 来源合规性:APP必须从正规APP应用市场或百度官方渠道获取,且为当时该APP的最新版本。补充说明:
    • 若同一产品在各应用市场版本不一致,则以最新版本号为准;
    • 若在BSRC正式提交漏洞报告前,此窗口期内APP更新了版本,则应以新发布版本为准。
  • 名词标准化:隐私风险中名词的定义和内容参考GB/T 35273-2020《信息安全技术个人信息安全规范》。
  • 信息完整性:提交漏洞报告时,需提供完整检测信息,包括:名称、APP来源、版本号、测试工具、复现路径、隐私风险证明及清晰截图证据,其中截图证据必须至少包括问题所在界面、接口、调用栈。
    • 说明:对于无需技术手段即可发现的风险(如:信息窗口未提供显著的关闭或退出选项)可不提供接口、调用栈信息。
  • 及时度要求:测试结果请在第一时间提交至BSRC,已经对外公开的隐私漏洞不在收取范围内。
  • 计分规则:
    • 相同类型隐私漏洞在同一APP中发现的,按照一个漏洞评定和给予奖励;
    • 相同类型隐私漏洞在同一APP中发现的,第一个报告者获得奖励,后续报告者不再奖励;
    • 相同类型隐私漏洞在多个APP中发现的,请合并一个漏洞报告提交,我们会根据漏洞具体情况给予额外奖励。
四、漏洞评分细则
根据隐私漏洞发现的难易程度、影响等维度,将隐私漏洞分为高危漏洞、中危漏洞及低危漏洞。
【高危】
问题新颖且行业内罕见,漏洞需要有复杂的技术发现与鉴别,且对用户敏感信息或者权限会造成重大影响。
奖励标准:400-800安全币
【中危】
漏洞的发现与鉴别需一定技术即可以发现,且对用户的信息或者权限会造成一定影响。包括但不限于
  • 同意隐私政策前收集个人信息或打开个人信息权限;
  • 收集的频率超出其实现产品或服务的业务功能所必需的最低频率;
  • 收集的个人信息范围超出了隐私政策中描述的范围;
  • 未经用户同意,非服务所必需或无合理场景,APP切换至后台后持续收集个人信息;
  • 无隐私政策或隐私政策难以访问(如进入APP主界面,需多于4次点击等才能访问到)。
奖励标准:80-120安全币
【低危】
漏洞的发现与鉴别无需技术或者简单技术即可以发现,且会对用户的信息或者权限造成影响。包括但不限于:
  • 隐私政策未见向用户明示、未经用户同意,存在采集个人信息行为;
  • 既未经用户同意,也未做匿名化处理,App客户端直接向第三方提供个人信息,包括通过客户端嵌入的第三方代码、插件等方式向第三方提供个人信息;
  • 非服务所必须或无合理需求,提前向用户申请权限;
  • 欺骗强迫用户下载且无法关闭或停止;
  • APP频繁索权,用户拒绝权限申请后,在非用户主动触发权限所涉及的业务场景的情况下,再次弹出权限弹窗即为频繁。
说明:仅以静态扫描Manifest.xml 结果作为缺少隐私声明依据,但没有提供APP实际调用记录的漏洞,认定为无效漏洞。
奖励标准:10-30安全币
五、众测激励
隐私漏洞众测活动表现突出者可获得额外奖励:
TOP1奖励2000元,折合400安全币;
TOP2奖励1500元,折合300安全币;
TOP3奖励1000元,折合200安全币;
注:众测期间需至少提交3个有效隐私漏洞才可参与额外奖励评选。
六、报告提交要求
漏洞报告者可以通过BSRC平台(https://bsrc.baidu.com)注册并提交漏洞。
提交报告时,请在漏洞类型处勾选【隐私安全漏洞】,且需要提供以下关键信息:
  • 基本信息字段:APP产品名称、APP产品版本(必须为最新版本)、APP下载来源、APP安装文件、测试方式(工具名称和测试方法)、复现路径、整改建议等。
    • 若同一产品在各应用市场版本不一致的,则以最新版本号为准;
    • 若在BSRC正式提交漏洞报告前,此窗口期内APP更新了版本,则应以新发布版本为准。
  • 隐私漏洞证明:技术类隐私漏洞需提供有效的日志类信息,包括但不限于:完整的测试堆栈信息、其网络流量抓包截图、284log或其他日志文件。只提交检测平台、检测工具类的结果截图类证据将不被接受。
七、补充说明及注意事项
以下情况将不计入有效漏洞:
  • 在漏洞修复之前被公开的漏洞; 
  •  网上已公开的漏洞; 
  • 以测试漏洞为理由,利用漏洞进行损害用户利益、影响业务运作、盗取用户数据等严重危害用户权益或百度权益的行为,将不被计入,同时百度保留采取进一步法律行为的权利。

以下情况将做降级/追回奖励处理:

  • 对于缺乏关键因素(文字描述、测试过程、风险接口和参数等),报告排版混乱,无法稳定复现的报告,将做降级/忽略处理;

  • 未经百度许可,私自对外透漏漏洞详情,追回漏洞奖励且保留采取法律措施的权利。

对于同一个URL,如果多个参数存在类似的漏洞,按一个漏洞积分,不同类型的,按危害程度最大的计分。

同一个漏洞源产生的多个漏洞计算为一个漏洞。

提交漏洞时请确认是否会对业务有真正的影响,并提交实际产生危害的证明,对于间接危害或猜测危害,定级时将不予考虑。 

八、联系我们
漏洞处理过程中,如果漏洞报告者对处理流程、评级评分具有异议的,请添加工作人员QQ1458902395或在BSRC平台漏洞下方留言进行反馈,BSRC隐私漏洞众测活动官方微信群如下,超出人数可联系工作人员入群。

文章转发福利
关注BSRC公众号
且公开转发本文至朋友圈
即可参与抽奖活动

百度安全应急响应中心

百度安全应急响应中心,简称BSRC,是百度致力于维护互联网健康生态环境,保障百度产品和业务线的信息安全,促进安全专家的合作与交流,而建立的漏洞收集以及应急响应平台。地址:https://bsrc.baidu.com

长按关注


文章来源: https://mp.weixin.qq.com/s?__biz=MzA4ODc0MTIwMw==&mid=2652538336&idx=1&sn=d8cb4b43c71cdf945602ebc11147ef78&chksm=8bcba1dcbcbc28ca7e7de8e59cfcc6b4afef50e93ea526cd1c23de528ecaa9b999c0bb5a91b6&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh