| 版本号 | 修订内容 | 发布日期 |
|---|---|---|
| 试行版 | 发布试行版 | 2023年9月21日 |
一、基本原则
斗鱼安全应急响应中心(DYSRC)坚定遵守相关法律法规的规定,并致力于通过隐私众测培养优秀的隐私保护力量,以提高公司内部的合规能力。我们承诺,每一份提交的报告都将由专业团队进行评估与处理,对于隐私漏洞的提供者,我们将给予相应的奖励。
DYSRC强烈反对任何有损公司利益的行为。未经授权,任何人不得在公众场所或平台上讨论或披露隐私漏洞的细节,也不得向任何第三方泄露隐私漏洞信息。如有上述行为,DYSRC保留追究其法律责任的权利。
二、接收范围
DYSRC隐私漏洞的接收范围和要求如下:
1、业务范围
包括斗鱼直播APP、斗鱼直播极速版APP、咕咕语音APP、鲨鱼购APP和斗鱼手游直播助手APP等。
2、报告要求
(1)报告中请尽量描述详细完整,包括漏洞调用描述、漏洞验证步骤、漏洞危害证明和相关政策要求等内容,并且附带APP下载应用商店、漏洞涉及的APP版本、日期、测试机型、操作系统版本、包名等信息,以加快审核人员处理速度。对于漏洞报告过于简单、无任何危害证明的报告将忽略或降分处理。
(2)请在官方网站、主流应用商店下载最新版本APP进行测试,以白帽子提交漏洞的时间和在线版本为准,历史版本漏洞不接收;研发内测版本(或灰度版本)存在的问题不接收;
(3)因“非主流设备不兼容”导致的某些不合规问题不在接收范围内(如:刻意使用小屏幕、低分辨率的手机打开《隐私政策》导致文字显示不清等);
(4)技术类隐私漏洞需提供有效的日志类信息,包括但不限于:完整的测试堆栈信息、其网络流量抓包截图、284log或其他日志文件。只提交检测平台、检测工具类的结果截图类证据将不被接受;
(5)仅以静态扫描Manifest结果为依据提交的缺少相关隐私声明的漏洞,但没有提供实际调用记录的,确认为低危,有调用记录的,确认为中危;
(6)仅提供SDK列表截图,白帽子提示SDK列表不全以外,还应当补充提交关于SDK实际传输了数据给第三方的证据。否则不予通过。
3、接收类型
与主要用户所在的国家或地区的相关法律法规冲突,未及时修复能够导致企业的经营、声誉等受到损害。接收的隐私漏洞类型如下:
| 漏洞类型 | 漏洞描述 |
|---|---|
| 隐私声明存在缺陷 | 收集用户数据,但无隐私政策<br />存在数据共享,但无第三方数据共享清单<br />首次打开APP无隐私政策弹窗<br />隐私政策中内容缺失(如缺少字段或权限声明)<br />隐私政策需4步以上才能访问<br />敏感个人信息未加粗展示<br />第三方数据共享内容缺失 |
| 不合规数据采集 | 隐私政策同意前上传个人信息<br />未经授权采集或上传个人信息<br />频繁采集用户个人信息<br />收集与服务或功能无关的数据 |
| 不合规隐私权限使用 | 未经授权调用个人信息权限<br />权限使用前未同步告知使用目的<br />频繁调用个人信息权限<br />调用与服务或功能无关的权限<br />用户拒绝后频繁询问用户授权 |
| 用户权利问题 | 未按法律规定提供复制、删除或更正个人信息途径<br />缺少注销、撤回同意等功能<br />缺少个性化广告或个性化推荐开关 |
| 产品设计缺陷 | 隐私政策存在默认同意<br />隐私政策勾选按钮无法点击<br />隐私相关的产品功能无法使用或不生效<br />授权过程或同意过程可绕过<br />授权或同意界面反复弹出 |
| 其他 | n/a |
三、评级细则
DYSRC结合利用场景中漏洞的严重程度、利用难度、业务范围等综合因素将漏洞等级分为【高危】、【中危】、【低危】、【无影响】四个等级,并给予相应的漏洞奖励。
| 漏洞级别 | 判定参考 | 奖励标准(积分) |
|---|---|---|
| 高危 | 问题新颖且行业内罕见,需要一定技术深度才能够发现的问题 | 50-100 |
| 中危 | 一般情況下,隐私漏洞的发现与鉴别需要一定的技术手段。包括但不限于:<br />1、同意隐私政策前收集个人信息或打开个人信息权限;<br />2、强制定向推送信息;<br />3、若通过嵌入第三方代码插件收集个人信息的功能,是否向用户明示;<br />4、调用与服务或功能无关的权限;<br />5、收集个人信息的范国超出隐私政策中描述的范围;<br />6、收集的频率超出其实现产品或服务的业务功能所必需的最低频率。 | 15-50 |
| 低危 | 一般情况下,该类问题不需要技术手段就可以发现,如隐私政策中描述性内容文本遗漏等,包括但不限于:<br />1、未告知个人信息处理者的名称或者姓名和联系方式;<br />2、未告知个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;<br />3、未告知个人行使本法规定权利的方式和程序,例如复制、删除或更正个人信息的途径;<br />4、隐私政策的文本不易于阅读,例如文字过小过密、颜色过淡、模糊不清,或未提供简体中文版等;<br />5、 以默认选择同意隐私政策等非明示方式征求用户同意 ;<br />6、 隐私政策等收集使用规则难以访问,如进入App主界面后,需多于4次。 | 5-15 |
| 无影响 | 一般情况下,该类问题判断所依据的法律、法规和标准中的相关要求处于暂未发布施行的状态(如草稿、征求意见稿、未实施),或已发布但只面向部分行业生效或暂未实质推行(如面向部分行业的推荐性标准只针对对应行业生效);隐私政策中错别字问题,此部分会持续更新。 | 0 |
请注意,此评分规则仅供参考。漏洞的最终评分将根据漏洞的实际发现利用难度、业务特性、漏洞的影响范围、报告的详细程度、复测过程中上报者的配合程度等多个因素进行综合评定。DYSRC享有最终解释权。
四、争议解决办法
在漏洞报告处理过程中,如果报告者对漏洞处理流程、漏洞评定、漏洞评分等有异议的,可微信联系负责人员:ruanruan__00。DYSRC将根据反馈重新商定结果做调整。斗鱼安全中心将根据漏洞报告者利益优先的原则进行处理,必要时可引入外部安全专家共同裁定。
五、参考标准
全国人大常委会《中华人民共和国网络安全法》
全国人大常委会《中华人民共和国个人信息保护法》
国家标准GB/T 35273-2020《信息安全技术 个人信息安全规范》
全国信息安全标准化技术委员会《网络安全标准实践指南—移动互联网应用程序(App)个人信息保护常见问题及处置指南》
全国信息安全标准化技术委员会《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南》
全国信息安全标准化技术委员会《移动互联网应用程序(APP)系统权限申请使用指南》
App专项治理工作组《App违法违规收集使用个人信息自评估指南》
APP专项治理工作组《App申请安卓系统权限机制分析与建议》
四部委《App违法违规收集使用个人信息行为认定方法》(国信办秘字〔2019〕191号)
工业和信息化部《关于开展纵深推进APP侵害用户权益专项整治行动的通知》(工信部信管函〔2020〕164号)
工业和信息化部《关于开展互联网行业市场秩序专项整治行动的通知》(工信部信管函〔2021〕165号)
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...