[TPSA25-08]数据安全，重若千钧｜奖金翻倍！微信敏感数据专项众测正式启动

数据，是数字世界的记忆，也是微信的信任根基。
每一条记录不仅由代码构成，更承载着真切的用户足迹；每一次交互不仅是系统请求，更是沉甸甸的托付。这些数据共同构建起微信生态的核心价值，也使我们肩负起守护的责任。
为此，微信联合TSRC发起「敏感数据专测」，诚邀白帽同行，共同构筑更坚实的数据防线。我们相信，每一次对数据安全的投入，既是对用户期待的回应，也是对信任最好的守护。



○ 奖励说明 ○

福利一：
提交活动范围内的高危、严重漏洞最高获2倍安全币。(贡献值不变）

福利二：
为微信全线业务提供高质量严重漏洞报告的师傅，TSRC还将授予月度即时现金奖励（1～3万元）。

福利三：
特定严重漏洞，月度即时现金奖励最高可达3～6万元。

福利四：
提交更加清晰明确、利用思路新颖、手法独特等的特别贡献安全报告，还将额外获得高质量报告奖励（最高5000元）。



○ 专测时间 ○

2025.12.1-2025.12.31



○ 专测范围 ○

指定业务高危及以上漏洞2倍激励
微信全线业务，包含微信、企业微信、微信读书、微信输入法、微信支付等各客户端及平台服务应用（不包含微信小店、电商等相关业务）。

支付业务补充说明
微信支付功能、微信钱包、微信支付商户平台、微信支付自研刷脸和刷掌设备、微信信用卡还款等。

* 微信敏感数据专测活动：一百万奖金池激励，先到先得！



○ 敏感数据范围 ○

敏感数据泄露（如：用户真实姓名、身份证、手机号、地址、交易记录等等），要求包含两个及以上敏感字段。

用户数据：
身份证号、手机号、银行卡号、地址、交易等能定位到个人的信息，包括商家/主播/达人等。

业务数据：
非公开的经营管理类数据、可实际利用的系统运行类如身份票据/业务系统的口令凭证。

注：
1、必须通过业务提供的服务获取、非第三方不可控途径收集/购买、风险等级按数据量级及影响程度判断和定级；
2、证明可获取即可，内部按实际评估量级及影响范围，不得大规模获取数据，佐证获取的数据在佐证后需删除，不得售卖/公开第三方.

《TSRC漏洞处理和评分标准》
【新增】敏感数据定义与数据泄露类报告定级标准

○ 参与方式 ○

此次测试为预报备制，参与者需在报名入口提前报备，并遵守活动相关规则进行测试，才可享受活动奖励，参与者需同时遵守《漏洞提交基本原则》（详见文末）。

1、提前报备
为方便快速定位，本次众测活动中的所有漏洞测试行为需提前报备，未经提前报备的测试结果不享受活动奖励。
进入链接或扫码报备

https://wj.qq.com/s2/24935022/rhux/

2、TSRC官网提交
报告名称以“微信数据专测”开头。



○ 漏洞提交基本原则 ○

1、未经腾讯授权，您不得向任何第三方公开漏洞或提供任何与腾讯产品有关的安全情报。如发现相关情形，TSRC有权收回您因该漏洞获得的全部TSRC奖励及福利。
2、测试过程不得损害业务正常运行，不得以测试漏洞借口尝试利用漏洞损害用户利益，影响业务的正常运行或盗取用户数据等行为。
3、禁止内网渗透行为，包括但不限于利用 SSRF 或其他漏洞扫描内网、尝试系统提权等行为。
4、禁止进行网络拒绝服务攻击，包括但不限于 DoS、 DDos、CC 或其他明确在尝试前可知会影响服务稳定性的拒绝服务攻击。
5、禁止下载和业务相关的敏感数据，包括但不限于源代码、运营数据、用户资料等，若存在不知情的下载行为，需及时说明和删除。
6、在测试未限制发送次数的短信功能时，需填写自己的手机号，禁止对其他用户号码进行尝试。
7、禁止使用可能造成业务影响的漏洞尝试工具，包括但不限于 SQLMap 等，使用时需确认不会对业务数据造成破坏性的影响。
8、在测试过程中如包含数据获取功能时，包括但不限于 SQL 注入、用户资料的越权获取等，应尽可能的采取手动尝试，且获取的数据量不能超过 10 组，相关数据也需在报告后尽快删除。
9、测试越权尝试或其他可能影响用户数据的操作时，需尽可能将尝试控制在自己创建的多个账号生成的内容中，不得影响到线上业务中其他用户的正常数据。
10、禁止通过物理接触、社会工程学、钓鱼、水坑等不涉及 TSRC 奖励计划的非技术漏洞尝试。
11、我们反对和谴责一切以漏洞测试为借口，利用安全漏洞进行破坏，损害腾讯系统及腾讯用户的利益的攻击行为，对相关行为我们保留追究法律责任的权利。
12、漏洞测试和提交准则请参照《腾讯外部威胁情报处理流程》和遵守《SRC行业安全测试规范》。
13、沙箱环境中的代码执行/命令执行本身是预期的产品功能，如果能逃逸或影响到其他用户容器，则正常评分。（有效条件：逃逸到宿主机/物理机，获取有效敏感信息和权限，或证明通腾讯内网；可通过ssrf的方法验证通腾讯内网 ）



○ 补充说明 ○

在漏洞处理过程中，如果报告者对处理流程、漏洞评定、漏洞评分等具有异议的，请通过当前漏洞报告页面中的“审核人员联系方式”及时沟通。
腾讯安全应急响应中心将根据漏洞报告者利益优先的原则进行处理，更多详情请参照“腾讯外部漏洞报告处理流程”。
附：
《TSRC漏洞处理和评分标准》
《TSRC暂停收录列表》


微信 • TSRC