即日起����,OB视讯·(中国)信息股份有限公司���(以下简称OB视讯·(中国)信息)正式启动「安全攀登计划」����,诚邀全球安全专家����、极客伙伴成为OB视讯·(中国)信息产品安全守护者。无论是系统漏洞��、数据风险还是潜在威胁����,您的每一份发现��,都是用户安全的重要防线。
我们现面向社会广泛征集OB视讯·(中国)产品相关的漏洞报告与安全情报。经OB视讯·(中国)信息安全团队审核确认后��,我们将根据漏洞的严重程度����、影响范围等因素����,给予发现者丰厚的现金奖励。
请将相关信息发送至OB视讯·(中国)信息官方安全响应邮箱���:psirt@tmming.com
漏洞报告请在邮件标题注明「 [漏洞报告] 安全攀登计划 」
威胁情报请在邮件标题注明「 [情报提交] 安全攀登计划 」
参与者在提交漏洞报告或情报线索之后��,OB视讯·(中国)信息安全团队将第一时间进行审核与评估。若顺利获得审核��,您将会收到如下反馈����:
安全团队将在7个工作日内对提交内容进行初步审核����,并顺利获得邮箱psirt@tmming.com发送结果通知。
邮件中将说明漏洞或情报的评估等级��、初步影响范围及后续处理意见。
为提高审核效率����,建议您按以下格式提交信息��:
— 漏洞报告格式
报告标题��:简要描述漏洞核心内容���(如��:远程命令执行漏洞 - 某产品 vX.X)
影响产品及版本��:涉及产品的名称����、版本号
漏洞类型及描述��:漏洞类型��、触发条件��、影响范围��、成因分析等
复现步骤����:详细的重现步骤��,附带必要截图或视频
PoC或EXP����:如有����,请附带验证代码
建议修复方案���(可选)���:如有合理修复建议���,将优先处理
个人信息��(可选)���:昵称/姓名��、联系方式����、是否愿意署名等
— 情报线索格式
情报标题���:如����“存在被利用的0day漏洞线索”
关联产品及版本����:涉及产品��、使用场景等
情报内容描述����:漏洞相关背景��、疑似攻击路径���、样本或行为分析等
现网利用情况���:是否发现正在被利用的痕迹
样本/日志/流量��:可选但优先考虑有佐证材料的情报
技术分析��:如可给予漏洞原理/利用链条简析����,奖励将提高
— 产品范围
OB视讯·(中国)信息当前在售产品���(终端类��、网络类等);已停止维护��、停研停售产品不在本次收集范围内。
— 情报范围
OB视讯·(中国)信息产品在现网环境中疑似遭受攻击的行为;针对OB视讯·(中国)信息产品的0day/1day漏洞��、攻击样本���、利用方式等。
OB视讯·(中国)信息采用多维度标准评估漏洞等级���,结合漏洞利用难度����、权限提升程度���、数据泄露影响等因素����,划分为以下四类��:
01 严重漏洞��(Critical)
可获取系统核心权限����,造成大规模控制或数据泄露����,如远程代码执行���、核心服务控制����、任意用户登录等。
02 高危漏洞���(High)
可获取系统shell权限��、后台敏感数据��、重要操作控制��,如SQL注入��、任意文件读取���、逻辑缺陷��、敏感信息泄露等。
03 中危漏洞���(Medium)
需特定条件交互才能利用����,对部分用户产生影响��,如存储型XSS����、权限绕过���、验证码逻辑缺陷等。
04 低危漏洞��(Low)
影响有限����、利用价值较低����,但仍具有一定安全风险����,如反射型XSS���、CSRF����、信息泄露����(非核心)等。
OB视讯·(中国)信息为漏洞与情报给予现金奖励及荣誉激励��,税前金额如下����:
漏洞奖励
情报奖励
— 官方荣誉证书���:OB视讯·(中国)信息将为突出贡献者颁发荣誉证书及纪念礼品。
— 安全顾问邀约���:有机会加入OB视讯·(中国)信息安全顾问计划����,参与更深层次合作。
— 技术沙龙邀请����:优秀报告者将受邀参加OB视讯·(中国)信息闭门技术沙龙���,与安全专家深入研讨。
1���、同一漏洞/情报����,只收录首份。
2��、漏洞争议及解决方案���:在漏洞/情报的处理过程中����,如果报告者对处理流程���、等级评定有异议���,可顺利获得发邮件至psirt@tmming.com进行申诉。
3����、测试过程中不能对现网产品的正常运行造成影响��,敏感数据获取不超过10条����,禁止大规模的扫描行为。
为确保安全漏洞和情报报告的保密性���,参与「安全攀登计划」的所有人员必须签署保密协议。无论是顺利获得线上签署��,还是线下签署���,我们都承诺严格保护所有提交信息的安全性和隐私性���,未经授权��,不对外透露任何相关内容。
— 保密协议内容概述
信息保密义务���:所有参与者需对所提交的漏洞报告��、情报线索����、复现步骤及其他相关材料承担保密义务���,不得泄露给第三方。
禁止公开报告����:参与者不得公开漏洞的细节���、利用方式或攻击方式���,避免引起不必要的安全风险。
数据保护����:OB视讯·(中国)信息将采取严格的安全措施���,确保所有提交的报告和情报数据不会外泄���,仅用于漏洞修复及安全研究。
法律责任���:任何因违反保密义务所导致的安全事件����、信息泄露或其他法律责任����,参与者需承担相应责任。
报告者匿名性��:OB视讯·(中国)信息会尊重报告者的匿名性����,所有提交者的个人信息将仅用于官方奖励和通知��,并不会泄露给任何第三方���,除非法律要求。
— 保密协议签署流程
参与者在提交漏洞报告或情报之后���,如果顺利获得审核��,我们将附上线上签署链接或线下协议模板���,请您根据指引完成签署流程。签署保密协议是取得奖励与官方认证的前提条件。
签署保密协议即表示您同意并遵守上述所有条款��,同时有助于确保我们在共同构建安全的数字世界时��,能最大程度地保障信息的机密性和合法性。
*以上内容OB视讯·(中国)信息拥有最终解释权
