活动简介
共同守护用户隐私的同时,还可获得高额奖励,单个漏洞最高奖励1w元,各位大佬们整起来!
活动时间
2022年2月17日—3月3日
活动地点
主办方
微众银行安全应急响应中心
活动详情
为了更好的守护微众银行用户隐私安全
微众银行SRC首期隐私合规漏洞专项活动开启
诚邀各位安全专家的参与
共同守护用户隐私,还可获得高额奖励!
活动详情如下
活动时间
2022年2月17日—3月3日
活动收取范围
微众银行APP
微众企业爱普
(收取版本为IOS、Android应用商店最新版本)
奖励与评分标准
根据隐私合规问题影响程度、发现的难易程度等维度,将隐私合规问题分为严重漏洞、高危漏洞、中危漏洞及低危漏洞。
相关法律法规参考
1.工业化和信息化部《关于开展纵深推进APP侵害用户权益专项整治行动的通知》(工信部信管函〔2020〕164号)
2.关于印发《常见类型移动互联网应用程序必要个人信息范围规定》的通知
3.四部委《App违法违规收集使用个人信息行为认定方法》(国信办秘字〔2019〕191号)
4.全国信息安全标准化技术委员会《网络安全标准实践指南—移动互联网应用程序(App)个人信息保护常见问题及处置指南》
5.全国信息安全标准化技术委员会《移动互联网应用程序(APP)系统权限申请使用指南》
6.《中华人民共和国个人信息保护法》
7.《移动金融客户端应用软件安全管理规范》(JR/T 0092-2019)
8.《个人金融信息保护技术规范》(JR/T 0171—2020)
9.《个人信息安全规范》GB/T 35273-2020
提交需知
1.漏洞提交地址:https://security.webank.com/
2.为方便快速审核,提交漏洞请务必附带以下信息:产品名称、测试机型、APP系统版本、风险等级、风险问题点、依据法律法规、整改建议等信息。建议可直接提交附件。
3.违规行为一经溯源发现,取消活动期间全部奖励。提前对外公布细节、虚假漏洞、已知重复漏洞等行为不予奖励;
4.本次活动将着重对164号、191号法规收取;
5.本次活动不计入团队季度奖励。
风险规避
1.在漏洞挖掘过程中,发现的相关漏洞应严格保密,禁止提交到其它的众测平台或对外发布;禁止利用发现漏洞实施非法活动;测试过程中发现的所有漏洞都需如实反馈,写进漏洞报告。
2.测试过程不得损害业务正常运行,不得以测试漏洞借口尝试利用漏洞损害用户利益,影响业务的正常运行或盗取用户数据等行为。
3.需要遵守《微众银行SRC用户服务协议》,勿将页面截图、功能模块详情等外传泄露;如违约,或者未按照规定进行安全测试,将扣除所属漏洞的全部奖励,并严格按照协议中的违约行为处理。
如有发现以下情况,对应白帽子将会加入黑名单,微众银行保留有进一步追究法律责任的权力:
恶意利用漏洞故意泄漏微众银行数据行为;
利用漏洞恶意删除我行系统文件或数据,故意破坏微众银行系统行为;
发现微众银行漏洞提交到其它的众测平台或对外发布;
利用发现漏洞实施其它非法活动行为;
使用DDoS技术等暴力测试对微众银行系统进行攻击行为;
任何以漏洞测试为借口,利用安全漏洞进行破坏、损害用户及微众银行利益的攻击行为。
*如遇到特殊情况,活动内容会及时进行调整;此活动最终解释权归微众银行SRC所有。