2018 专项情报收集计划
此专项计划只针对于唯品金融旗下业务,涉及内容包括但不限于消费贷、理财、保险、唯品支付、账号安全、个人信息安全等。
活动时间
2018年8月20日- 2018年12月31日
(此期间内享受双倍积分奖励)
业务情报范围:
数据情报
1、对有组织有规模的盗取和售卖账号,订单数据,业务规则等行为提供关键线索,能形成有效证据链
2、对大批量的套现,欺诈等行为提供关键线索,能形成有效证据链
不接收范围:
单个账号信息、订单信息、单个套现人、套现商户无详细信息的属于不接收范围。
例如:网名+微信号,无其他信息
商户情报
1、对于已成为唯品会开放平台商家存在盗用他人账户,身份证,银行卡等个人信息进行诈骗或协助套现等行为提供关键线索,能形成有效证据链
2、对已成为唯品会开放平台商家存在与中介或其他非法组织勾结不正当牟利行为提供关键线索,能形成有效证据链
3、对于已成为唯品会开放平台商家涉嫌洗钱犯罪等行为提供关键线索,能形成有效证据链
4、发现并提供内部人员联合外部个人、组织、商户乘工作之便伪造交易、协助套现、欺诈等行为提供关键线索,能形成有效证据链
不接收范围:
只提供商户名称的,无其他可查询信息的,属于不接收范围。
流程相关
1、申请消费贷的流程漏洞或特殊途径等提供线索,能形成有效证据链
2、针对消费贷的提额、取现,账户解冻的特殊途径等提供线索,能形成有效证据链
3、申请成为唯品会开放平台商家的特殊途径、流程漏洞、商家名称等提供线索,能形成有效证据链
不接收范围:
1)官网上的消费贷开通方式,提额、取现方式均属于不接收范围。
2)唯品会开放平台的正常招商渠道及规则要求属于不接收范围
其他与唯品金融相关的攻击类信息
备注:
1、对于暂未入驻唯品会开放平台的商家,如后续接入发现存在以上行为,将按照规则给予评分。
2、对唯品金融相关业务中存在的套现、欺诈等行为提供关键线索,能形成有效证据链。
场景包括但不限于唯品会商城,线下超市便利店,个体商户等
情报关键线索:
关键人
可以是个人、组织或平台信息,需包含联系方式或团体交流渠道(如QQ群、微信群、贴吧、网址论坛等)
业务场景
包括但不限于消费贷、理财、保险、唯品支付、账户安全、个人信息安全、交易欺诈、套现、商户欺诈等业务场景,网址链接等
情报内容
详细的流程及步骤,例如消费贷额度开放活动被提前发布,需收集发布者得知该活动的情报渠道,如何操作等内容,时间点可作为辅助内容(辅助关注点仅当在对情报有突出意义时才计分)。
数据证据
1)针对账户安全,交易欺诈,套现类情报,需提供不少于10条样本的详细数据证据供审核员进行情报确认;
2)针对商户涉嫌欺诈洗钱,协助套现,疑似跑路等情报,需提供详细的数据证据供审核员进行情报确认;
3)如有通过中介或其他非法组织接入唯品会开放平台的商户情报,需提供详细的数据证据供审核员进行情报确认;
4)针对唯品金融相关业务中存在的套现、欺诈等情报,需提供详细的数据证据供审核员进行情报确认;
(以上均可以文字、图片、或视频的方式提供)。
备注:多条线索的任意组合均可产生对应的情报,提供更多线索信息对于情报的价值越大。
无效情报判定:
无效情报是指错误、无意义或根据现有信息无法调查利用的威胁情报,例如:
1)上报虚假捏造或人为制造情报信息的;
2)上报可能套现、欺诈的QQ群号,微信号,且未提供其他有效信息的;
3)通过社工www.58yuanyou.com等手段诱导客服进行相关操作的;
4)上报已发现或失效情报的;
5)所有情报不可调查,没有证据证明的,不能形成有效证据链的均不计分
业务系数:
核心业务:涉及商城账号安全、用户敏感信息、交易和订单信息等核心业务;
一般业务:不涉及商城账号安全、用户敏感信息,涉及商户,业务流程等一般业务;
边缘业务:一般业务中的非核心业务
业务情报评分标准:
业务情报共分为严重、高危、中危、低危、无影响五个等级,每个等级评分如下:
情报自动忽略说明:
若首次提交情报后,审核暂未通过,我们将会以留言或邮件的方式,告知提供更进一步详细 说明,待一周后,若白帽子未及时更新补充说明,则该情报将被自动忽略。
奖励发放原则:
兑换比例
安全币:人民币= 1:10
安全币:唯品卡= 1:10
兑换时间
处理时间:每月的最后一个工作日
最终到账时间:以银行为准 为了保障广大白帽子们的利益,VSRC会统一将需兑换现金的个人信息,在月底最后一个工作日之前,提交给公司财务,最终金额到账日期,以银行为准,请大家务必耐心等待,感谢理解!
评分标准通用原则:
1)奖励只针对通过VSRC 平台,唯品会安全应急响应微博,唯品会安全应急邮箱sec@vipshop.com 提交漏洞的白帽子;
2)评分标准仅适用于威胁唯品金融产品和业务相关的情报。与唯品会完全无关的情报,不计贡献值;
3)同一种情报或漏VftOaEDKMv洞,按最高级别的奖励进行记录,数量记为一个;
4)由于情报分析调查的时间较长,因此确认周期相原由网比漏洞的时长较长;
5)由于情报的时效性,报告已知或已失效的情报不计分;
6)同一情报,首位报告者计贡献值,其他报告者均不计;
7)非核心业务的情报等级将结合情报影响程度作降级判定;各漏洞/情报的最终得分由危害大小、利用难易程度及影响范围综合考虑决定。
8)影响唯品金融业务正常运作、人为自行制造情报信息或事件的不计分,同时我司将保留采取进一步法律行动的权利;
9)唯品会员工不得参与或通过朋友亲属参与本活动。
10)漏洞/情报奖励处理标准的解释权归唯品会信息安全部所有。
争VftOaEDKMv议解决办法:
在漏洞报告处理过程中,如果报告者对流程处理、定级、评分等有异议的,可以通过以下三种方式联系VSRC 工作人员进行及时有效的沟通:
1、 漏洞详情页面的留言板原由网;
2、 邮箱 sec@vipshop.com;
3、 微信公众号“唯品会安全应急响应中心”直接回复留言即可;VSRC 将按照漏洞报告者利益优先的原则处理,必要时将会引入外部安全人士共同裁定。