THSRC APP隐私类漏洞评分规则V1.0

  • A+
所属分类:安全闲碎
APP隐私类漏洞评分规则V1.0

APP隐私漏洞定义
THSRC APP隐私类漏洞评分规则V1.0

隐私问题的定义范围参考行业监管部门的认定标准:

App违法违规收集使用个人信息行为认定方法》

《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》

《常见类型移动互联网应用程序必要个人信息范围规定》

收集范围
THSRC APP隐私类漏洞评分规则V1.0

1、途虎养车或关联子公司的名下的

2、在中国境内监管部门监管范围内的

3、发布上架至各大应用商店并提供公开下载使用的

途虎业务的APP/小程序/SDK(需全部满足上述3点)


包括但不限于途虎养车APP/小程序,途虎养车商户APP/小程序、以及其他汽车保养、轮胎洗美、道路救援、二手车业务APP、汽配龙业务APP、途虎收购的业务及系统产品的APP,以及途虎委托指定的第三方软件开发商开发的APP,途虎APP中嵌入的第三方SDK等。


内部员工专用的封闭式APP可以上报账号登录之外的功能的隐私问题(禁止通过社工他人账号登录获取隐私漏洞的方式)。

评分原则
THSRC APP隐私类漏洞评分规则V1.0

A、白帽子提供的APP版本必须是我司及其相关控股子公司名义在中国境内上架,在监管部门监管范围之内,隐私漏洞范围符合前述《App违法违规收集使用个人信息行为认定方法》等监管认定标准定义内(该方法可随监管部门政策更新同步最新版本)。

B、隐私类漏洞报告务必包含提供APP下载应用商店,版本,日期,测试硬件机型,操作系统版本,问题截图位置,必要的触发步骤和现象视频等信息。漏洞认定方法和尺度必须符合监管部门的标准,不支持个人私下歧义性的解读理解。

C、隐私类漏洞所涉及APP和版本,必须是在中国境内我司的官网和各大主流应用下载商店、分发渠道已公开发布的全量新版本,未公开发版的测试版本不作为有效漏洞接收(我司内部测试平台,苹果TestFlight,各类内测托管平台等),之前网上各种陈旧的版本(下载源头是来自各类下载站、代码托管网站,已倒闭停止更新的应用商店,网盘上存留等)的漏洞不作为有效漏洞接收。

D、漏洞以提交时间为准,第一个报告者获得奖励,后续报告者不得奖励。隐私漏洞政策如有变化,因为认定方法变化导致的漏洞可再次提交算做有效漏洞接收。漏洞状态改成“已修复”后,在高版本再次出现的同样漏洞的,作为有效漏洞接收。

E、APP必须是我司开发面向用户提供开放式账号申请注册登录的APP,内部专用的封闭式APP仅限在账号登录范围之外的功能的隐私类问题测试(禁止通过社工渠道获取他人账号登录上报隐私漏洞的行为),非我司开发的外部企业级服务商的APP(譬如企业微信,钉钉,视频会议手机版,滴滴打车企业版之类)不在奖励范围。

F、隐私类漏洞的提交有效日期自2021年9月5日开始,隐私漏洞所对应APP的发版日期也同日开始计算,之前历史版本的漏洞不接收。

THSRC APP隐私类漏洞评分规则V1.0
评分细则(点击图片查看大图)

THSRC APP隐私类漏洞评分规则V1.0



本文始发于微信公众号(途虎安全响应中心):THSRC APP隐私类漏洞评分规则V1.0

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: