携程安全应急响应中心

威胁情报奖励计划

即日起,CSRC在原有的“安全漏洞奖励计划”的基础上新增“威胁情报奖励计划”,该项目意在收集携程网及其合作伙伴(鸿鹄旅游、铁友)网站安全漏洞外存在的相关安全威胁。

【威胁范围】携程、鸿鹄旅游、铁友的产品和业务漏洞相关的安全情报,包括但不限于漏洞线索、流程脆弱性、攻击方式、攻击者信息等。

【响应流程】用户通过CSRC提交威胁情报信息,我方将在一个工作日内对提交信息做出响应,由于安全威胁涉及面广、所涉及的内容可能复杂,确认时间长,我方将竭力尽快对所反映问题进行确认。

【威胁情报评分标准】

1、核心应用:用户和支付类等基础业务、机票、酒店、旅游、礼品卡、邮轮,评分为:10

2、一般应用:火车票、汽车票、用车、门票、团购、攻略、全球购、商旅,评分:7

3、边缘应用:积分商城、合作卡、订餐、鸿鹄旅游、铁友、艺龙、去哪儿、智行火车票,评分:5

系统重要性/漏洞严重性 严重(100-300) 高危(30-80) 中危(10-25) 低危(1-10)
核心应用(10) 1000-3000 300-800 100-250 10-100
一般应用(7) 700-2100 210-560 70-175 7-70
边缘应用(5) 500-1500 150-400 50-125 5-50

携程币对应表,携程币的=系统重要性*漏洞严重性

评分级别 线索范围 示例
严重 服务器被入侵且提供了入侵行为方式等相关线索 业务服务器被入侵且提供了相关行为特征方便快速定位确认问题点
公司最近一个月内的重要业务敏感信息泄漏的相关线索 证明最近一个月内携程网客户、订单信息批量泄漏,提供被脱库的详细信息,可快速定位确认问题点
重大金融逻辑漏洞线索 支付类严重的逻辑漏洞
高危 业务存在严重逻辑缺陷导致业务不能正常进行的线索 绕过认证可以批量提交恶意订单的
网站价格被恶意篡改影响当前业务的线索 网站旅游价格被恶意篡改,出现“1元”旅游的相关证明
中危 公司业务存在严重脆弱性环节的漏洞 通过致电携程客服,利用客服人员安全意识薄弱可以成功套取用户相关信息的相关证明
低危 发现针对携程的假冒或者钓鱼网站等 提供假冒或者钓鱼网站有效链接

【威胁情报认定原则】

1)通用型漏洞、同一安全隐患引起的多个问题计数为一个

2)业界暂时无法彻底解决的业务威胁问题暂时不计分(如羊毛党带来的业务威胁)

3)对于第三方问题导致的安全威胁,我方无法修复的暂时不计分(如航空公司客户信息泄漏造成的携程用户被欺诈)

4)被重复提交的同一问题,认定第一个报告者为有效报告者

5)提交网上已公开的威胁情报不计分

6)以安全测试为借口,利用情报信息进行损害用户利益、影响业务正常运作、修复前公开、盗取用户数据等行为的,将不计分,同时携程保留采取追究法律责任的权利

登录系统提交威胁情报请点击: 携程旅行网账号登录

若无携程账号,请先注册: 携程旅行网账号注册

您所报告的威胁情报,我们会在第一时间跟进与反馈。