面对前所未有的互联网隐私安全问题挑战，美团安全团队肩负使命与责任，始终将保护用户隐私信息放在第一位。美团安全应急响应中心隐私漏洞处理标准1.0今日正式上线，内容包括美团SRC处理隐私漏洞报告时的具体流程、漏洞评级标准、奖励范围等。

筑造用户信息安全的城墙是一场持久战，在这场战役里离不开白帽们的贡献与支持。我们诚挚地邀请各位向我们提交美团业务的隐私漏洞，帮助我们发现更多的此类问题。

以下为《美团安全应急响应中心隐私漏洞处理标准1.0》全文：

一、 基本原则

为了更好地贯彻相关法律法规的要求，美团安全应急响应中心（后述简称：MTSRC）收取隐私漏洞，以此不断提升美团内部相关能力。本则标准描述了MTSRC处理隐私漏洞报告时的具体流程和做法，同时公示了对于不同等级漏洞的奖励标准，为漏洞发现者及漏洞报告者从事漏洞发现和报告的活动提供指引。

二、适用范围

限于美团所有终端用户的应用（暂不包括小程序）：

美团、大众点评、美团外卖、美团优选、美团众包、美团打车、美团买菜、美团民宿、美团好货、美团配送、美团优选团长、美团骑手、快驴进货、美团打车司机、美团外卖商家端、美团开店宝、团好货商家版等。

三、限制与指引

1. APP必须从正规APP应用市场或美团官方渠道进行获取，且为该APP目前的最新版本；

2. 隐私合规风险中名词的定义和内容可参考GB/T 35273-2020《信息安全技术个人信息安全规范》；

3. 报告中，需明确APP相关版本信息及及发布应用市场，并提供隐私风险证明及截图说明，截图包括具体页面、调用栈、接口信息；

4. 测试结果请在第一时间提交SRC，已经对外公开的合规风险不在收取范围内；

5. 同一APP，同一类型风险，前三名提交报告被视为有效风险，按照提交顺序分别发放漏洞100%、50%、20%的奖励，后续不再重复收取；

6. 对于已由其他白帽子或公司内部提前知晓的漏洞，可能会忽略或酌情给予奖励；

7. 未经许可，请不要公开披露或提供关于美团隐私漏洞的任何细节信息或将漏洞提交给第三方，我们保留追回漏洞奖励以及追究法律责任的权利。

四、漏洞提交与处理流程 

1. 漏洞提交

漏洞报告者可以通过MTSRC平台（https://security.meituan.com）注册并提交漏洞。

2.漏洞处理流程

一个工作日内：我们会及时处理白帽子提交的漏洞信息。 

三个工作日内：完成漏洞的确认、定级、及奖励金额评测。一旦提交的漏洞被确认，漏洞提交者可以收到相对应的贡献值及安全币发放，贡献值可影响MTSRC季度、年度榜单排名，安全币则可用于兑换MTSRC平台上的所有礼品与现金。

五、隐私漏洞评分标准

针对漏洞提交及确认有效的贡献者，MTSRC将给予基础奖励。 

我们采用安全币作为漏洞奖励单位，按资产的重要性及漏洞影响来计算安全币： 

【核心业务】包括：美食、外卖、酒店、机票/火车票、内信

【一般业务】包括：美团单车、休闲娱乐、丽人、结婚、亲子、周边游、运动健身、购物、家装、学习培训、生活服务、医疗健康、爱车、宠物、酒吧/密室逃脱

不同的隐私漏洞，根据漏洞等级不同、业务范围不同、报告质量高低不同，安全币发放不同（注：1安全币=5人民币）。

六、漏洞评级标准

根据隐私漏洞发现的难易程度、影响等维度，将隐私漏洞分为高危漏洞、中危漏洞及低危漏洞。

【高危 】

1. 漏洞影响重大，未及时修复能够导致公司的经营或声誉等受到严重损害；

2. 问题行业罕见，需要一定的技术深度才能够发现的问题。

【中危】

1. 漏洞影响较大，未及时修复可能导致用户投诉、监管机构通报等影响；

2. 一般情况下，该类问题属于监管机构已经明确的检查项目，只需要一般的技术手段就可以发现。

【低危】

1. 漏洞影响小，未及时修复可能产生的影响不明确；

2. 一般情况下，该类问题不需要技术手段就可以发现。

七、争议解决办法 

漏洞处理过程中，如果漏洞报告者对处理流程、评级评分具有异议的，请添加工作人员微信942761431或QQ群261181052进行反馈，MTSRC将根据漏洞报告者利益优先的原则进行处理。

最终解释权归美团安全应急响应中心所有 

Meituan Security Response Center

2022年4月

抓到漏洞，押解至此

原文始发于微信公众号（美团安全应急响应中心）：重要通知 | 美团隐私漏洞处理标准1.0发布