นโยบายการเปิดเผยช่องโหว่ความปลอดภัย

ยินดีต้อนรับสู่ Funding Societies | Modalku Group นโยบายช่องโหว่ด้านความปลอดภัย ซึ่งถูกออกแบบมาเพื่อส่งเสริมให้ผู้ที่สนใจ และบุคคลทั่วไปได้มีความรับผิดชอบในการแจ้งเตือนช่องโหว่ด้านความปลอดภัย ซึ่งช่องโหว่ด้านความปลอดภัยเหล่านี้อาจพบได้บนเว็บไซต์, ระบบคลาวด์ และอุปกรณ์สื่อสารของพวกเรา ความพยายามของคุณนั้นจะช่วยให้เรานำมาปรับปรุงสภาพแวดล้อมของระบบให้ปลอดภัย และมั่นคงเพื่อผู้ใช้บริการของเรา

• สร้างความมั่นใจว่าข้อมูลลูกค้าของพวกเรามีความปลอดภัย รวมทั้งผลิตภัณฑ์/บริการนั้นมีความน่าเชื่อถือเป็นอันดับแรกสำหรับ Funding Societies ดังนั้นเราจึงมุ่งมั่นออกแบบและสร้างสรรค์ผลิตภัณฑ์และบริการให้อยู่ระดับสูงสุดในเรื่องความปลอดภัยและความน่าเชื่อถือ

• นโยบายนี้ขยายความถึงแนวทางของ Funding Societies ในการร้องขอ และรับแจ้งปัญหาที่เกี่ยวข้องกับช่องโหว่ด้านความปลอดภัยที่อาจเกิดขึ้น รวมทั้งข้อผิดพลาดที่จะเกิดขึ้นกับผลิตภัณฑ์และบริการ

ลูกค้า, ผู้ใช้บริการ, ผู้ที่สนใจ, พันธมิตร และบุคคลทั่วไปที่ให้ความสนใจในผลิตภัณฑ์ และบริการของ Funding Societies ได้สนับสนุนในการแจ้งช่องโหว่ความปลอดภัย และข้อผิดพลาดตามที่ระบุรายละเอียดในหน้านี้

• Funding Societies ขอขอบคุณอย่างยิ่งในความพยายามของทุกคนที่รายงานปัญาเพื่อระบุช่องโหว่ด้านความปลอดภัย หรือข้อผิดพลาด ซึ่งสิ่งนี้จะช่วยปรับปรุงด้านความปลอดภัยและความน่าเชื่อถือของผลิตภัณฑ์และบริการ

ระเบียบข้อบังคับ:

1. รายงานปัญหาอย่างมีความรับผิดชอบ (Responsible Reporting): หากพบช่องโหว่ และความผิดพลาดที่เกิดขึ้นจากผลิตภัณฑ์ และการบริการของ Funding Societies โปรดดำเนินการตามคำแนะนำ อย่างแรกต้องห้ามหาประโยชน์หรือใช้งานช่องโหว่ด้านความปลอดภัย และข้อผิดพลาดไม่ว่าจะด้วยวัตถุประสงค์ใด นอกเหนือจากการแจ้งปัญหาให้กับทีม Funding Societies เท่านั้น

2. การทดสอบอย่างมีศีลธรรม (Ethical Testing): หลีกเลี่ยงการทดสอบ หรือการศึกษาที่อาจส่งผลกระทบกับ Funding Societies ไม่ว่าจะเป็นผู้ถือผู้มีส่วนได้ส่วนเสีย หรือพันธมิตร ในการทดสอบอย่างมีศีลธรรมแสดงให้เห็นถึงสภาพแวดล้อมในการทำงานที่ปลอดภัย

3. ความสมบูรณ์ของข้อมูล (Data Integrity): ปรับปรุงข้อมูลให้ถูกต้อง โดยไม่ละลาบละล้วง, ลบ, เปลี่ยน หรือทำลายการเข้าถึงข้อมูลที่เกี่ยวข้องกับช่องโหว่ด้านความปลอดภัย ซึ่งสิ่งเหล่านี้จะช่วยให้สามารถตรวจสอบหาสาเหตุได้ง่ายยิ่งขึ้น

4. กิจกรรมต้องห้าม (Prohibited Activities): กิจกรรมที่ห้ามทำ ซึ่งประกอบด้วยการหลอกหลวงบุคคลผ่านโซเชียล (Social Engineering), สแปม (Spam), ฟิชชิ่ง (Phishing), โจมตีการให้บริการ (DoS), โจมตีแหล่งทรัพยากรข้อมูล และการทดสอบระบบอัตโนมัติ กิจกรรมเหล่านี้เป็นสิ่งต้องห้ามโดยเด็ดขาดสำหรับการทดสอบระบบ

5. กฎข้อบังคับ (Legal Compliance): การปฎิบัติตามข้อกฎหมายเป็นสิ่งจำเป็น และในการแจ้งปัญหาของคุณ จะต้องไม่ทำฝ่าฝืนข้อกฎหมาย หรือข้อบังคับที่เกี่ยวข้องต่างๆ

6. การรักษาความลับ (Confidentiality): ปรับปรุงการรักษาความลับ และห้ามเปิดเผยข้อมูลที่เกี่ยวข้องกับการแจ้งรายงานของคุณ, ช่องโหว่, หรือข้อมูลที่คุณได้แจ้งให้กับ Funding Societies รวมทั้งห้ามเปิดเผยรายละเอียดให้เป็นสาธารณะ

7. การแสวงหาประโยชน์อย่างมีขอบเขต (Limited Exploitation): แสวงหาประโยชน์จากช่องโหว่ด้านความปลอดภัยในขอบเขตที่จำเป็นเท่านั้น เพื่อใช้ยืนยันสาเหตุของปัญหาที่เกิดขึ้น และห้ามแสวงหาประโยชน์นอกเหนือเกินความจำเป็น

8. ความซื่อสัตย์ของการให้บริการ (Service Integrity): ห้ามจงใจทำลาย หรือทำให้การให้บริการของ Funding Societies มีความน่าเชื่อถือลดลง

9. ห้ามการโจมตีแบบ Denial-of-Service (DOS): ห้ามมีส่วนร่วมไม่ว่าจะรูปแบบใดก็ตาม ที่เป็นการโจมตี Denial-of-Service (DOS) ซึ่งเป็นการโจมตีระบบด้วยการส่งคำร้องไปที่เซิร์ฟเวอร์จำนวนมาก จนทำให้ระบบไม่สามารถทำงานต่อได้ หรือเกิดผลกระทบที่ส่งผลต่อการให้บริการของ Funding Societies

10. เคารพสิทธิส่วนบุคคล (Respect for Privacy): ห้ามฝ่าฝืนความเป็นส่วนตัวของผู้ใช้งานรายอื่น, การทำลายข้อมูล, ขัดขวางการให้บริการ หรือมีส่วนร่วมกิจกรรมที่ไม่ปลอดภัยและเป็นอันตราย

ขั้นตอนการแจ้งปัญหา:

หากคุณพบช่องโหว่ด้านความปลอดภัย โปรดแจ้งมาที่อีเมล [email protected] พร้อมระบุรายละเอียดดังต่อไปนี้:

• ระบุรายละเอียดถึงช่องโหว่ด้วนความปลอดภัย รวมถึงขั้นตอน, ภาพประกอบ, วิดิโอ หรือหลักฐานแนวคิด

• รายละเอียดสำหรับติดต่อของคุณ

ทีมงานที่ดูแลเรื่องความปลอดภัยจะทำการตรวจสอบรายงานแจ้งเหตุ และแจ้งสถานะของการตรวจสอบให้คุณรู้อย่างต่อเนื่อง การรายงานปัญหาด้านความปลอดภัยให้กับ Funding Societies นั้น แสดงให้เห็นถึงการยอมรับข้อตกลงและเงื่อนไขของการเปิดเผยช่องโหว่ และระเบียบข้อบังคับที่แจ้งไว้ข้างต้น

คำนิยม

เพื่อเป็นการแสดงความขอบคุณสำหรับการเปิดเผยข้อมูลอย่างมีความรับผิดชอบ ทางเราขอแสดงความขอบคุณผ่านทางอีเมล รวมทั้งบุคคลที่มีส่วนร่วมต่อการรักษาความปลอดภัยในบริการของเรา เช่น การระบุรายละเอียดและแจ้งรายงานช่องโหว่ด้านความปลอดภัยที่ได้รับผลกระทบ ซึ่งบุคคลเหล่านี้จะได้รับการแสดงความขอบคุณใน Hall of frame ของพวกเราโดยขึ้นอยู่กับความยินยอมของผู้ใช้

ช่องทางติดต่อ

หากคุณมีคำถามที่สงสัยโดยเฉพาะที่เกี่ยวข้องกับขอบเขตของนโยบาย และช่องโหว่ด้านความปลอดภัยต่างๆ สามารถติดต่อทีม Funding Societies [email protected]

ช่องโหว่ความปลอดภัยที่อยู่นอกขอบเขต

• การครอบครองโดเมนย่อยโดยไม่มีหลักฐานที่ตรวจสอบได้

• บัญชีใช้งานถูกนำข้อมูลออกไป (ตัวอย่างเช่น รายชื่อบน WordPress)

• การเข้าถึงส่วนสำคัญและข้อมูลส่วนตัวโดยไม่ผ่านการพิสูจน์ตัวตน

• ขาดการจำกัดอัตราของ API endpoints เว้นแต่เป็นการ Brute-Forcing รหัสผ่านโทเค็น ผ่าน entropy ที่ไม่เพียงพอ (เช่น รหัสผ่าน 4 หลักโดยไม่มีการตรวจสอบเทียบกับการจำกัดจำนวนคำขอ)

• ช่องโหว่ด้านความปลอดภัยที่พบในอุปกรณ์สื่อสาร

• การระบุ UUID ทุกประเภท

• การแจ้งเตือน SSL

• การรับเชิญและแจกรหัสโปรโมชั่น

• Open redirects (Phishing) โดย 99% ของช่องโหว่ด้านความปลอดภัยนี้ จะมีผลกระทบต่อความปลอดภัยในระดับต่ำ สำหรับกรณีที่พบไม่บ่อย ซึ่งอาจทำให้มีผลกระทบในระดับสูง ตัวอย่างเช่น การขโมย Token Oauth (Open Authentication) ซึ่งเรายังต้องการทราบเกี่ยวกับปัญหาที่เกิดขึ้นเหล่านี้

• การแจ้งเวอร์ชั่นซอฟต์แวร์ที่ไม่ได้มีการอัปเดต/ช่องโหว่โดยไม่มีหลักฐาน

• การแจ้งช่องโหว่ด้านความปลอดภัยที่ส่งผลกระทบต่อผู้ให้บริการหรือเวอร์ชั่นของแอปพลิเคชันที่ล้าสมัยเท่านั้น – ซึ่งจะพิจารณาเฉพาะช่องโหว่ที่ดำเนินการโดยใช้เว็บเบราว์เซอร์เวอร์ชันล่าสุดบน Safari, FireFox, Chrome, Edge, IE และแอปพลิเคชันเวอร์ชันที่มีอยู่ใน Google Playstore หรือ AppStore

• Stack traces, path disclosure และ directory listings

• ปัญหาการแทรกแซง CSV

• ความสมบูรณ์ของแนวทางปฎิบัติ

• แจ้งปัญหาที่มีการคาดเดาเกี่ยวกับทฤษฎีความเสียหายเท่านั้น – เราแนะนำให้คุณจัดเตรียมหลักฐานไว้ในการแจ้งปัญหาทุกครั้งที่ส่งมาเสมอ

• ช่องว่างด้านความปลอดภัยที่ผู้ใช้รายอื่นหรือทีม Funding Societies ไม่สามารถใช้ประโยชน์ได้ Self-XSS (โดยปกติสามารถทำได้โดยการฝัง JavaScript ไว้ในการตั้งค่าเบราว์เซอร์)

• ช่องโหว่ด้านความปลอดภัยที่มีอยู่ในแซนด์บ็อกซ์ หรือสภาพแวดล้อมจำลอง

• ช่องโหว่ด้านความปลอดภัยจะถูกรายงานโดยแอปพลิเคชันอัตโนมัติโดยไม่มีการวิเคราะห์เพิ่มเติมเกี่ยวกับวิธีการค้นพบ

• ช่องโหว่ด้านความปลอดภัยที่ได้รับจากสแกนเนอร์อัตโนมัติสำหรับแอปพลิเคชันบนเว็บ (Acunetix, Vega ฯลฯ) โดยไม่มีการตรวจสอบด้วยตนเอง

• การโจมตีแบบปฏิเสธการให้บริการ (DDOS) หรือกิจกรรมใด ๆ ที่อาจส่งผลให้เกิดการขัดขวางของการทำงาน

• ข้อบกพร่องด้านความปลอดภัยในการแทรกแซงเนื้อหา

• การปลอมแปลงคำขอข้ามไซต์ (CSRF) ที่มีความความปลอดภัยน้อยที่สุด (ออกจากระบบ CSRF ฯลฯ )

• ไม่มีการตั้งค่าสถานะ Cookie ที่ไม่ได้รับการรับรองความถูกต้อง

• ปลอมแปลงอีเมล

• ขาดการตั้งค่า HTTP security headers

• ขาดเครื่องหมายของ HTTPOnly และความปลอดภัยของ Cookie

• ช่องโหว่ด้านความปลอดภัยที่เข้าถึงอุปกรณ์ หรือคอมพิวเตอร์ของเหยื่อ

• รายงานการตรวจสอบของ SSL/TLS (ผลลัพธ์ที่ได้รับจากแอปพลิเคชันออนไลน์ เช่น SSL Labs)

• ปัญหาช่องว่างของแบนเนอร์ (เช่น เวอร์ชันของเว็บเซิร์ฟเวอร์ที่ใช้งานอยู่)

• การเปิดพอร์ทโดยไม่มีการพิสูจน์ตัวตน ซึ่งจะแสดงให้เห็นถึงช่องโหว่ด้านความปลอดภัย

• การขโมยลิงค์ที่เกิดความเสียหาย

• เข้าไปในสำนักงาน Funding Societies โยนชิปไปทุกที่ ปล่อยแรคคูนผู้หิวโหยจำนวนหนึ่ง และจี้อาคารผู้โดยสารที่ถูกทิ้งร้างในสถานที่ทำงานที่ปลดล็อคในขณะที่พนักงานกำลังเสียสมาธิ: การหลอกลวงเหนื่อ โดยใช้หลักการพื้นฐานทางจิตวิทยา และศิลปะหลอกล่อให้เหยื่อเปิดเผยข้อมูล (Social Engineering ฯลฯ)