活动 | 微众银行SRC首期隐私合规漏洞专项活动开启！

共同守护用户隐私的同时，还可获得高额奖励，单个漏洞最高奖励1w元，各位大佬们整起来！

2022年2月17日—3月3日

https://security.webank.com/

微众银行安全应急响应中心

为了更好的守护微众银行用户隐私安全
微众银行SRC首期隐私合规漏洞专项活动开启
诚邀各位安全专家的参与
共同守护用户隐私，还可获得高额奖励！

活动详情如下

2022年2月17日—3月3日

活动收取范围

微众银行APP
微众企业爱普
（收取版本为IOS、Android应用商店最新版本）

奖励与评分标准

根据隐私合规问题影响程度、发现的难易程度等维度，将隐私合规问题分为严重漏洞、高危漏洞、中危漏洞及低危漏洞。

相关法律法规参考

1.工业化和信息化部《关于开展纵深推进APP侵害用户权益专项整治行动的通知》（工信部信管函〔2020〕164号）
2.关于印发《常见类型移动互联网应用程序必要个人信息范围规定》的通知
3.四部委《App违法违规收集使用个人信息行为认定方法》（国信办秘字〔2019〕191号）
4.全国信息安全标准化技术委员会《网络安全标准实践指南—移动互联网应用程序（App）个人信息保护常见问题及处置指南》
5.全国信息安全标准化技术委员会《移动互联网应用程序（APP）系统权限申请使用指南》
6.《中华人民共和国个人信息保护法》
7.《移动金融客户端应用软件安全管理规范》（JR/T 0092-2019）
8.《个人金融信息保护技术规范》（JR/T 0171—2020）
9.《个人信息安全规范》GB/T 35273-2020

1.漏洞提交地址：https://security.webank.com/
2.为方便快速审核，提交漏洞请务必附带以下信息：产品名称、测试机型、APP系统版本、风险等级、风险问题点、依据法律法规、整改建议等信息。建议可直接提交附件。
3.违规行为一经溯源发现，取消活动期间全部奖励。提前对外公布细节、虚假漏洞、已知重复漏洞等行为不予奖励；
4.本次活动将着重对164号、191号法规收取；
5.本次活动不计入团队季度奖励。

1.在漏洞挖掘过程中，发现的相关漏洞应严格保密，禁止提交到其它的众测平台或对外发布；禁止利用发现漏洞实施非法活动；测试过程中发现的所有漏洞都需如实反馈，写进漏洞报告。
2.测试过程不得损害业务正常运行，不得以测试漏洞借口尝试利用漏洞损害用户利益，影响业务的正常运行或盗取用户数据等行为。
3.需要遵守《微众银行SRC用户服务协议》，勿将页面截图、功能模块详情等外传泄露；如违约，或者未按照规定进行安全测试，将扣除所属漏洞的全部奖励，并严格按照协议中的违约行为处理。

如有发现以下情况，对应白帽子将会加入黑名单，微众银行保留有进一步追究法律责任的权力：
恶意利用漏洞故意泄漏微众银行数据行为；
利用漏洞恶意删除我行系统文件或数据，故意破坏微众银行系统行为；
发现微众银行漏洞提交到其它的众测平台或对外发布；
利用发现漏洞实施其它非法活动行为；
使用DDoS技术等暴力测试对微众银行系统进行攻击行为；
任何以漏洞测试为借口，利用安全漏洞进行破坏、损害用户及微众银行利益的攻击行为。

*如遇到特殊情况，活动内容会及时进行调整；此活动最终解释权归微众银行SRC所有。