小红书安全响应中心隐私漏洞报告评分规则V1.1

发布者小红书安全响应中心发布日期2024-03-26

版本更新信息

版本号	修订内容	发布日期
V1.1	更新业务范围，完善漏洞奖励定级。	2024-03-26
V1.0	发布第一版/SRC上线版本《小红书安全响应中心隐私漏洞报告评分规则V1.0》。	2023-09-15

一、前言

小红书安全响应中心紧跟法律法规要求，希望通过安全众测提升内部合规能力。

小红书反对和谴责损害公司利益的行为，未经允许请勿在任何公众场合或平台讨论或披露隐私漏洞的细节，不得向任何第三方透露隐私漏洞。

如有上述行为，小红书将有权追究其法律责任。

二、适用范围

业务范围：小红书App 、小红书商家版App及对应小程序。

* 小红书App为核心应用。

三、提交限制

（一）来源合规性

APP必须从正规APP应用市场或小红书官方渠道获取，且为当时该APP的最新版本。

* 补充说明：

若同一产品在各应用市场版本不一致，则以最新版本号为准；

若在XHSSRC正式提交漏洞报告前，此窗口期内APP更新了版本，则应以新发布版本为准。

（二）名词标准化

隐私风险中名词的定义和内容参考GB/T 35273-2020《信息安全技术个人信息安全规范》。

（三）及时度要求

测试结果请在第一时间提交至 XHSSRC，已经对外公开的隐私漏洞不在收取范围内。

四、漏洞评分细则

根据隐私漏洞发现的难易程度、影响等维度，将隐私漏洞分为严重漏洞、高危漏洞、中危漏洞及低危漏洞。

（一）漏洞定级

漏洞等级	范围描述
严重	问题新颖且行业内罕见，漏洞需要有复杂的技术发现与鉴别，且对用户敏感信息或者权限会造成重大影响。
高危	既未经用户同意，也未做匿名化/加密处理，App客户端直接向第三方提供个人信息，包括通过客户端嵌入的第三方代码（SDK）、表单、插件等方式向第三方提供个人信息。
中危	漏洞的发现与鉴别需一定技术即可以发现，且对用户的信息或者权限会造成一定影响。包括但不限于： 1、同意隐私政策前收集个人信息或打开个人信息权限； 2、收集的频率超出其实现产品或服务的业务功能所必需的最低频率； 3、强制定向推送信息； 4、收集的个人信息范围超出了隐私政策中描述的范围； 5、无隐私政策或隐私政策难以访问（如进入APP主界面，需多于4次点击等才能访问到）。
低危	漏洞的发现与鉴别无需技术或者简单技术即可以发现，且会对用户的信息或者权限造成影响。包括但不限于： 1、隐私政策不完整： 1）未告知反馈渠道； 2）未告知个人信息处理目的、方式等； 3）未告知个人权利行使路径。 2、非服务所必须或无合理需求，提前向用户申请权限； 3、欺骗强迫用户下载且无法关闭或停止； 4、 APP频繁索权，用户拒绝权限申请后，在非用户主动触发权限所涉及的业务场景的情况下，再次弹出权限弹窗即为频繁。 * 说明：仅以静态扫描Manifest.xml 结果作为缺少隐私声明依据，但没有提供APP实际调用记录的漏洞，认定为无效漏洞。