即日起���,OB视讯·(中国)信息股份有限公司��(以下简称OB视讯·(中国)信息)正式启动「安全攀登计划」����,诚邀全球安全专家����、极客伙伴成为OB视讯·(中国)信息产品安全守护者。无论是系统漏洞���、数据风险还是潜在威胁����,您的每一份发现���,都是用户安全的重要防线。
我们现面向社会广泛征集OB视讯·(中国)产品相关的漏洞报告与安全情报。经OB视讯·(中国)信息安全团队审核确认后����,我们将根据漏洞的严重程度���、影响范围等因素��,给予发现者丰厚的现金奖励。
请将相关信息发送至OB视讯·(中国)信息官方安全响应邮箱��:psirt@tmming.com
漏洞报告请在邮件标题注明「 [漏洞报告] 安全攀登计划 」
威胁情报请在邮件标题注明「 [情报提交] 安全攀登计划 」
参与者在提交漏洞报告或情报线索之后���,OB视讯·(中国)信息安全团队将第一时间进行审核与评估。若顺利获得审核��,您将会收到如下反馈����:
安全团队将在7个工作日内对提交内容进行初步审核����,并顺利获得邮箱psirt@tmming.com发送结果通知。
邮件中将说明漏洞或情报的评估等级���、初步影响范围及后续处理意见。
为提高审核效率���,建议您按以下格式提交信息��:
— 漏洞报告格式
报告标题����:简要描述漏洞核心内容���(如��:远程命令执行漏洞 - 某产品 vX.X)
影响产品及版本���:涉及产品的名称����、版本号
漏洞类型及描述��:漏洞类型����、触发条件����、影响范围����、成因分析等
复现步骤��:详细的重现步骤��,附带必要截图或视频
PoC或EXP���:如有��,请附带验证代码
建议修复方案���(可选)����:如有合理修复建议��,将优先处理
个人信息����(可选)���:昵称/姓名��、联系方式���、是否愿意署名等
— 情报线索格式
情报标题����:如��“存在被利用的0day漏洞线索”
关联产品及版本���:涉及产品��、使用场景等
情报内容描述���:漏洞相关背景��、疑似攻击路径���、样本或行为分析等
现网利用情况����:是否发现正在被利用的痕迹
样本/日志/流量����:可选但优先考虑有佐证材料的情报
技术分析��:如可给予漏洞原理/利用链条简析��,奖励将提高
— 产品范围
OB视讯·(中国)信息当前在售产品����(终端类���、网络类等);已停止维护����、停研停售产品不在本次收集范围内。
— 情报范围
OB视讯·(中国)信息产品在现网环境中疑似遭受攻击的行为;针对OB视讯·(中国)信息产品的0day/1day漏洞��、攻击样本����、利用方式等。
OB视讯·(中国)信息采用多维度标准评估漏洞等级��,结合漏洞利用难度����、权限提升程度���、数据泄露影响等因素����,划分为以下四类����:
01 严重漏洞��(Critical)
可获取系统核心权限��,造成大规模控制或数据泄露����,如远程代码执行���、核心服务控制����、任意用户登录等。
02 高危漏洞��(High)
可获取系统shell权限��、后台敏感数据����、重要操作控制����,如SQL注入����、任意文件读取��、逻辑缺陷����、敏感信息泄露等。
03 中危漏洞���(Medium)
需特定条件交互才能利用���,对部分用户产生影响����,如存储型XSS��、权限绕过��、验证码逻辑缺陷等。
04 低危漏洞��(Low)
影响有限���、利用价值较低��,但仍具有一定安全风险���,如反射型XSS��、CSRF��、信息泄露����(非核心)等。
OB视讯·(中国)信息为漏洞与情报给予现金奖励及荣誉激励���,税前金额如下����:
漏洞奖励
情报奖励
— 官方荣誉证书��:OB视讯·(中国)信息将为突出贡献者颁发荣誉证书及纪念礼品。
— 安全顾问邀约����:有机会加入OB视讯·(中国)信息安全顾问计划����,参与更深层次合作。
— 技术沙龙邀请���:优秀报告者将受邀参加OB视讯·(中国)信息闭门技术沙龙��,与安全专家深入研讨。
1��、同一漏洞/情报��,只收录首份。
2��、漏洞争议及解决方案���:在漏洞/情报的处理过程中����,如果报告者对处理流程����、等级评定有异议���,可顺利获得发邮件至psirt@tmming.com进行申诉。
3����、测试过程中不能对现网产品的正常运行造成影响����,敏感数据获取不超过10条���,禁止大规模的扫描行为。
为确保安全漏洞和情报报告的保密性��,参与「安全攀登计划」的所有人员必须签署保密协议。无论是顺利获得线上签署���,还是线下签署����,我们都承诺严格保护所有提交信息的安全性和隐私性����,未经授权���,不对外透露任何相关内容。
— 保密协议内容概述
信息保密义务���:所有参与者需对所提交的漏洞报告����、情报线索���、复现步骤及其他相关材料承担保密义务��,不得泄露给第三方。
禁止公开报告��:参与者不得公开漏洞的细节����、利用方式或攻击方式����,避免引起不必要的安全风险。
数据保护��:OB视讯·(中国)信息将采取严格的安全措施����,确保所有提交的报告和情报数据不会外泄����,仅用于漏洞修复及安全研究。
法律责任��:任何因违反保密义务所导致的安全事件����、信息泄露或其他法律责任����,参与者需承担相应责任。
报告者匿名性����:OB视讯·(中国)信息会尊重报告者的匿名性��,所有提交者的个人信息将仅用于官方奖励和通知���,并不会泄露给任何第三方���,除非法律要求。
— 保密协议签署流程
参与者在提交漏洞报告或情报之后��,如果顺利获得审核����,我们将附上线上签署链接或线下协议模板��,请您根据指引完成签署流程。签署保密协议是取得奖励与官方认证的前提条件。
签署保密协议即表示您同意并遵守上述所有条款����,同时有助于确保我们在共同构建安全的数字世界时��,能最大程度地保障信息的机密性和合法性。
*以上内容OB视讯·(中国)信息拥有最终解释权
