【活动】ZSRC隐私漏洞 &安全技术漏洞双双来袭~

活动范围：猪八戒网、思博网、商标进度查询APP

 APP系统版本号：

        猪八戒网（Android V8.4.10及以上，IOS V8.4.10及以上）

        思博网（Android V3.0.5及以上，IOS V3.0.4及以上）

        商标进度查询（Android V5.1.1及以上，IOS V5.1.1及以上）

        测试机型：建议使用手机系统版本号：Android版本12以上、IOS版本16.3以上，避免漏洞审核人员无法复现

评级标准与奖励：隐私漏洞分为严重和高危两个等级：严重漏洞80积分，高危漏洞40积分。

    严重：影响重大,与相关法律法规存在冲突且对猪八戒网产生重大影响，违规收集、使用用户的个人财产、健康生理、生物识别、身份等敏感个人信息（参考图下举例）。
    高危：影响重大，与相关法律法规存在较严重冲突，违规开启、使用用户终端的相机、相册、应用程序列表、唯一不可变设备识别码、短信信息、通话记录信息、精确位置信息、录音机拍摄录像信息、传感器信息等敏感权限。

敏感个人信息示例

• 漏洞提交要求：

名称：需按照格式要求提交漏洞，格式：【隐私漏洞】**APP 存在**漏洞；例如：【隐私漏洞】猪八戒网8.4.10 APP存在违反必要原则违规收集个人信息的隐私漏洞。

注意： 1、必须注明APP系统版本；  2、必须注明测试机型；3、必须注明漏洞依据法律法规，出处+条款具体内容

1、对于相同的漏洞报告，以提交时间为准，将给予首位提交者奖励，其余提交者不给予奖励。
2、同类型的漏洞单个app合并处理，请一并提交。
3、奖励只针对通过猪八戒网安全应急响应平台（https://security.zbj.com/）提交漏洞的白帽子。
4、不给予奖励的情形：
（1）第三方SDK或第三方自行收集处理个人信息的页面问题。
（2）奖励仅支持可威胁到猪八戒业务和业务相关的情报，与猪八戒无关的情报，将不给予奖励。
（3）网上已公开的漏洞不给予奖励。
（4）在漏洞修复之前，被公开的漏洞不给予奖励。
（5）未按照漏洞提交要求提交漏洞，如未注明法规依据不给与奖励。
5、法律参考，仅接收以下法律法规的隐私漏洞  
《中华人民共和国数据安全法》
《中华人民共和国个人信息保护法》
四部委《App违法违规收集使用个人信息行为认定方法》（国信办秘字〔2019〕191号）
工业化和信息化部《关于开展纵深推进APP侵害用户权益专项整治行动的通知》（工信部信管函〔2020〕164号）
GB/T 35273-2020 《信息安全技术 个人信息安全规范》
GB∕T 41391-2022 《信息安全技术 移动互联网应用程序（App）收集个人信息基本要求》
《常见类型移动互联网应用程序必要个人信息范围规定》
 全国信息安全标准化技术委员会《网络安全标准实践指南—移动互联网应用程序（App）个人信息保护常见问题及处置指南》
全国信息安全标准化技术委员会《移动互联网应用程序（APP）系统权限申请使用指南》

02

03

扫描二维码

加入ZSRC猪八戒网安全中心  

第一时间获得各种活动通知