重磅！BSRC专项情报收集计划

一、活动时间：7月4日-7月11日

二、活动范围：

• 漏洞情报
  影响百度业务的漏洞，包括但不限于百度业务自身的漏洞（按照此前规范例行评定）、百度通用产品的漏洞（该产品使用范围≥5个资产）、百度所使用供应链产品的漏洞（必须是大范围影响，比如同时影响百度10个以上不同业务资产）。
• 数据情报
  发现百度相关的业务数据、用户数据泄漏相关的情报（业务源码、业务敏感数据、公民信息等）。
• 钓鱼相关
  大型钓鱼站点后台地址：通过欺诈、网络劫持、seo等多种方式借用百度名义吸引了大量流量的钓鱼后台，积累了大量用户数据的，可以直接将相关后台进行举报，需要证明后台有大量数据，也可以提供相关证明方式详细信息，但切勿私自记录存储相关数据。
  大型钓鱼站点后台源码：市面上较为通用的钓鱼网站源码，需要有5个以上实际case证明通用性。
• 搜索相关
  能提高搜索权重、排名等数据的软件工具、技术手法、网站平台，需要保证软件、网站平台的可用性，手法类需要有证明可行的证据，包括但不限于截图、视频等。如卡位升排名卡首屏类软件、工具、平台。

• 以上类型情报一经确认危害起步为中危，中危情报起步200分，高危情报起步800分，具体视相关软件的使用量、涉及资金量、影响面而定。
• 重复上报的技术、软件、平台等情报将被驳回，软件请上传到网盘后附上链接，软件和平台需要可用、可访问。

• 上报虚假捏造或人为制造情报信息的。
• 上报可能刷单、炒信的QQ群号，且未提供其他有效信息的。
• 通过社工等手段诱导客服进行相关操作的。
• 上报已发现或失效情报的。

三、评分标准通用原则

• 评分标准仅适用于可威胁到百度集团产品和业务相关的情报。与百度集团完全无关的情报，不计贡献值。
• 由于情报分析调查的时间较长，因此确认周期相比漏洞的时长较长。
• 由于情报的时效性，报告已知或已失效的情报不计分。
• 同一情报，首位报告者计贡献值，其他报告者均不计。
• 涉及到与百度安全的情报，在情报未处理完成前公开的，不计分。
• 非核心业务的情报等级将结合情报影响程度作降级判定。
• 人为自行制造安全威胁或安全事件情报的不计分，同时百度将保留采取进一步法律行动的权利。