小红书安全响应中心业务情报定级标准V1.0

业务情报范围

● 提供小红书批量恶意账号注册、有组织的进行薅羊毛等行为的关键线索

● 提供泄露小红书内部信息、用户数据等行为的关键线索，网盘、GitHub等第三方分享或泄露小红书相关敏感文件、重要数据等

● 提供小红书刷量行为的关键线索，如：关注、收藏、点赞、评论、阅读量、播放量等

● 提供小红书直播类作弊行为的关键线索，如：刷赞、刷粉、抢红包、活动抽奖等

● 提供小红书支付类作弊行为的关键线索，如：苹果IOS代退款、店铺超期赔付等

● 提供小红书游戏类作弊行为的关键线索，如：游戏外挂、做任务脚本等

情报等级评审标准

1）严重情报

● 对核心业务、系统、办公网络造成重大影响，或对集团造成大量资金损失的威胁情报。例如：超过百万级的用户敏感数据数据泄漏事件。

2）高危情报

● 对核心业务、系统、办公网络造成较大影响，或对集团造成较大资金损失的威胁情报。例如：

○ 重大活动、电商活动、交易环节漏洞导致潜在重大资金损失或者舆情事件。

○ 涉政类笔记信息严重违法国家法律的，且传播较广。

○ 有组织的进行薅羊毛行为（参与人员多或者有专门群组组织、提供软件或脚本操作），造成较大的经济损失

3）中危情报

● 对核心业务、系统、办公网络造成一定影响，或对集团造成一定资金损失的威胁情报。例如：因业务规则缺陷导致被批量刷优惠券行为。

4）低危情报

● 对业务、系统、办公网络造成轻微影响的威胁情报，例如：破解版移动端APK

5）无效情报

● 无效情报是指错误、无意义或根据现有信息无法调查利用的威胁情报，例如：

○ 由Auto.js、E4A、hamibot、按键精灵等框架开发的完全模拟用户点击操作的脚本工具不予收录。

○ 上报虚假捏造或人为制造情报信息的

○ 接码平台和发卡平台售卖小红书接码服务的不收录

○ 上报单个或少量用户的非业务规则问题导致的刷量行为

○ 上报已发现或失效情报的

○ 众包任务平台涉及小红书的众包任务信息不收录

○ 小红书惊喜盒子类别薅羊毛信息不收录

○ 去水印类小红书素材提取工具不收录

○ 小红书上色情擦边类信息不收录，但是涉及利用小红书各种产品功能，组织群聊、话题等有组织成规模传播和组织约炮、色情交易等线索可酌情收录

○ CSDN、GitHub等技术网站涉及小红书的爬虫类、逆向破解类信息不收录

○ 淘宝、闲鱼等涉及小红书账号、流量作弊交易类信息不收录

○ 上报可能刷量、引流的QQ群号、刷量站点或黑产群发的广告信息，但未提供刷量证据明细（具体账号id、笔记id等样本）的

○ 上报情报中未包含攻击路径和攻击方法说明或表述不清，逻辑不通

○ 仅提供外部存在刷单/刷分/刷评服务，未提供证据的情报（必须包含可查验到的刷手真实订单、刷手账号、详细行为手法）

○ 单个电子面单截图反馈的数据泄露线索无效；若为后台截图，未提供准确截图时间的线索无效

○ 涉及数据泄露的情报，请至少提供20条有效样本，需要包含可追溯的身份字段，比如小红书号、userid、订单号、手机号、身份证号等，如果捕获到数据售卖线索，需要提供卖家联系方式，完整聊天记录和收款方式，未达到此要求将忽略

○ 涉及滥用CDN存储类情报，需要提供黑灰产上传资源的工具、路径或第三方平台，单个或批量的恶意资源链接，除色情/涉政内容以外，均不收取。

6）降级场景

此类场景下，相应情报会降低威胁等级：

● 情报完整性较低的情报

● 后台显示订单创建超过90天的数据泄露情报

● 有刷单/刷量等风控策略绕过行为，但算法会陆续覆盖或有其他风控策略兜底的情况

7）特殊说明

情报完整性是情报评分的重要依据，提交威胁情报时，应包含所提交情报场景所对应的关键线索（威胁来源、攻击路径、攻击方法、风险类型、发生时间、损失预估）