[PSRC-A-20211117] 【PSRC隐私漏洞】专项活动开启!奖励翻倍!

编号:
PSRC-A-20211117
作者:
PSRC
发布日期:
2021-11-18
阅读量:
604

一、活动详情

活动时间:11月18日~12月18日

漏洞提交:PSRC

活动范围:

APP名称

当前最新版本

平安金管家  

7.10.15  

好福利  

7.2.2  

平安口袋银行  

5.4.6  

平安租赁  

5.1.4  

壹钱包  

7.7.8  

知鸟  

7.0.5  

平安普惠  

6.50.0  

平安好贷  

2.4.8  

平安消费金融  

2.17.0  

平安期货博易  

5.5.6.0  


奖励:基础奖励x2倍

漏洞等级  

常规奖励  

翻倍后奖励  

严重  

¥2,000  

¥4,000   

高危  

¥1,000  

¥2,000  

中危  

¥500  

¥1,000  

低危  

¥100  

200  


二、奖励与评分标准

平安安全应急响应中心对提交的隐私问题进行审核,并对符合评分标准的漏洞给予相应的奖励。本隐私漏洞评分标准内容参考如下规定,具体细则如下:

1.    《App违法违规收集使用个人信息行为认定方法》

http://www.cac.gov.cn/2019-12/27/c_1578986455686625.htm

2.   《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》

http://www.cac.gov.cn/2020-07/28/c_1597492913060262.htm

3.   《常见类型移动互联网应用程序必要个人信息范围规定》

http://www.cac.gov.cn/2021-03/22/c_1617990997054277.htm

依据漏洞危害程度,漏洞等级分为严重、高、中、低四个等级。PSRC结合利用场景中漏洞的严重程度、利用难度、业务范围等综合因素给予相应的漏洞奖励。

等级

说明

奖励/元

严重

 

1. 在App中没有隐私政策(或同等效力内容文本,如“个人信息保护政策”)或在相应隐私政策(或同等效力内容文本,如“个人信息保护政策”)中没有收集使用个人信息规则。

2000

高危

 

1. 在App首次运行时未通过弹窗、主动勾选等方式提示用户阅读隐私政策等收集使用规则;

2. 实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围;

3. 不给权限不让用,APP安装和运行时,向用户索取与当前服务场景无关的权限,用户拒绝授权后,应用退出或关闭;

4. APP私自共享给第三方个人信息,或共享的个人信息超出用户同意的范围;

5. App新增业务功能申请收集的个人信息超出用户原有同意范围,若用户不同意,则拒绝提供原有业务功能,新增业务功能取代原有业务功能的除外;

6. 未提供有效的更正、删除个人信息及注销用户账号功能,或者为更正、删除个人信息或注销用户账号设置不必要或不合理条件;

7. 更正、删除个人信息或注销用户账号等用户操作已执行完毕,但有证据显示实际并未完成(如更正、删除邮箱地址之后,原有邮箱地址仍然收到APP的营销邮件);

8. 征得用户同意前就开始收集个人信息或打开可收集个人信息的权限,或者用户明确表示不同意后,仍收集个人信息;

9. 用户明确表示不同意后,仍收集个人信息或打开可收集个人信息的权限,或频繁征求用户同意、干扰用户正常使用;

10. 以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限,如故意欺瞒、掩饰收集使用个人信息的真实目的;

11. 违反其所声明的收集使用规则或者未征得用户同意前,收集使用个人信息;

12. App在用户未使用相关功能或服务时,提前申请开启通讯录、定位、短信、录音、相机等权限。

1000

中危

 

1. 未通过隐私政策等方式逐一列出App收集使用个人信息的目的、方式、范围等,如未在隐私政策等公示文本中逐一列明APP所集成第三方SDK收集使用个人信息的目的、方式、范围。

2. 收集使用个人信息的目的、方式、范围发生变化时,未以适当方式通知用户,适当方式包括更新隐私政策等收集使用规则并提醒用户阅读等;

3. 在申请打开可收集个人信息的权限,或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息之前,未明确告知用户其目的,或者目的不明确、难以理解;

4. 收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关,或者收集个人信息的频度等超出业务功能实际需要;

5. 未经用户同意更改其设置的可收集个人信息的开关状态或者以默认方式同意隐私政策,如App更新时自动将用户设置的权限恢复到默认状态或默认勾选同意隐私政策;

6. 要求用户一次性同意打开多个可收集个人信息的权限,用户不同意则无法使用,或频繁征求用户同意、干扰用户正常使用;

7. 向用户提供数据主体权利平台、隐私邮箱等方式反馈隐私权利诉求,未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)对用户诉求进行响应;

8. 利用用户个人信息和算法定向推送信息,未提供非定向推送信息的选项(强制用户使用定向推送功能)。

500

低危

 

1. 隐私政策等收集使用规则难以访问,如进入App主界面后,需多于4次点击等操作才能访问到。

100

 

注意:本次活动奖励不参与PSRC年度、季度、最具价值漏洞等其他奖励评选


漏洞提交至:https://security.pingan.com/

 

如有疑问,请发送消息至微信公众号【平安集团安全应急响应中心】

欢迎社会各界向我们反馈平安集团所有产品和业务的安全问题,更多信息可见报告漏洞