即日起，CSRC在原有的“安全漏洞奖励计划”的基础上新增“威胁情报奖励计划”，该项目意在收集携程网及其合作伙伴（鸿鹄旅游、铁友）网站安全漏洞外存在的相关安全威胁。

【威胁范围】携程、鸿鹄旅游、铁友的产品和业务漏洞相关的安全情报，包括但不限于漏洞线索、流程脆弱性、攻击方式、攻击者信息等。

【响应流程】用户通过CSRC提交威胁情报信息，我方将在一个工作日内对提交信息做出响应，由于安全威胁涉及面广、所涉及的内容可能复杂，确认时间长，我方将竭力尽快对所反映问题进行确认。

【威胁情报评分标准】

Ctrip应用系统重要性分级标准：

1、核心应用：*.ctrip.com和*.trip.com 主页面入口的相关业务（包括会员资金交易）评分为：10

2、一般应用：除核心应用外，是*.ctrip.com和*.trip.com域名，且具有业务属性或业务用户数据相关的应用，评分：5

3、边缘应用：属于携程应用，域名不限，且非业务属性和非业务用户数据相关的应用，评分：1

携程币对应表，携程币=系统重要性*漏洞严重性

【威胁情报认定原则】

1）通用型漏洞、同一安全隐患引起的多个问题计数为一个

2）业界暂时无法彻底解决的业务威胁问题暂时不计分，例如众包手动领券（如果发现某活动未接入风控，依靠一些黑设备或者批量注册的账号，依然可以参与活动的。若提交情报，可帮助减少业务损失的，依然算分）

3）对于第三方问题导致的安全威胁，我方无法修复的暂时不计分（如航空公司客户信息泄漏造成的携程用户被欺诈）

4）被重复提交的同一问题，认定第一个报告者为有效报告者

5）提交网上已公开的威胁情报不计分

6）以安全测试为借口，利用情报信息进行损害用户利益、影响业务正常运作、修复前公开、盗取用户数据等行为的，将不计分，同时携程保留采取追究法律责任的权利

7）威胁情报接收邮件如下：xxaqwxqb@trip.com

登录系统提交威胁情报请点击： 携程旅行网账号登录

若无携程账号，请先注册： 携程旅行网账号注册

您所报告的威胁情报，我们会在第一时间跟进与反馈。