นโยบายการเปิดเผยช่องโหว่ความปลอดภัย

ยินดีต้อนรับสู่ Funding Societies | Modalku Group นโยบายช่องโหว่ด้านความปลอดภัย ซึ่งถูกออกแบบมาเพื่อส่งเสริมให้ผู้ที่สนใจ และบุคคลทั่วไปได้มีความรับผิดชอบในการแจ้งเตือนช่องโหว่ด้านความปลอดภัย ซึ่งช่องโหว่ด้านความปลอดภัยเหล่านี้อาจพบได้บนเว็บไซต์, ระบบคลาวด์ และอุปกรณ์สื่อสารของพวกเรา ความพยายามของคุณนั้นจะช่วยให้เรานำมาปรับปรุงสภาพแวดล้อมของระบบให้ปลอดภัย และมั่นคงเพื่อผู้ใช้บริการของเรา

  • สร้างความมั่นใจว่าข้อมูลลูกค้าของพวกเรามีความปลอดภัย รวมทั้งผลิตภัณฑ์/บริการนั้นมีความน่าเชื่อถือเป็นอันดับแรกสำหรับ Funding Societies ดังนั้นเราจึงมุ่งมั่นออกแบบและสร้างสรรค์ผลิตภัณฑ์และบริการให้อยู่ระดับสูงสุดในเรื่องความปลอดภัยและความน่าเชื่อถือ

  • นโยบายนี้ขยายความถึงแนวทางของ Funding Societies ในการร้องขอ และรับแจ้งปัญหาที่เกี่ยวข้องกับช่องโหว่ด้านความปลอดภัยที่อาจเกิดขึ้น รวมทั้งข้อผิดพลาดที่จะเกิดขึ้นกับผลิตภัณฑ์และบริการ

ลูกค้า, ผู้ใช้บริการ, ผู้ที่สนใจ, พันธมิตร และบุคคลทั่วไปที่ให้ความสนใจในผลิตภัณฑ์ และบริการของ Funding Societies ได้สนับสนุนในการแจ้งช่องโหว่ความปลอดภัย และข้อผิดพลาดตามที่ระบุรายละเอียดในหน้านี้

  • Funding Societies ขอขอบคุณอย่างยิ่งในความพยายามของทุกคนที่รายงานปัญาเพื่อระบุช่องโหว่ด้านความปลอดภัย หรือข้อผิดพลาด ซึ่งสิ่งนี้จะช่วยปรับปรุงด้านความปลอดภัยและความน่าเชื่อถือของผลิตภัณฑ์และบริการ

 

ระเบียบข้อบังคับ:

  1. รายงานปัญหาอย่างมีความรับผิดชอบ (Responsible Reporting): หากพบช่องโหว่ และความผิดพลาดที่เกิดขึ้นจากผลิตภัณฑ์ และการบริการของ Funding Societies โปรดดำเนินการตามคำแนะนำ อย่างแรกต้องห้ามหาประโยชน์หรือใช้งานช่องโหว่ด้านความปลอดภัย และข้อผิดพลาดไม่ว่าจะด้วยวัตถุประสงค์ใด นอกเหนือจากการแจ้งปัญหาให้กับทีม Funding Societies เท่านั้น

  2. การทดสอบอย่างมีศีลธรรม (Ethical Testing): หลีกเลี่ยงการทดสอบ หรือการศึกษาที่อาจส่งผลกระทบกับ Funding Societies ไม่ว่าจะเป็นผู้ถือผู้มีส่วนได้ส่วนเสีย หรือพันธมิตร ในการทดสอบอย่างมีศีลธรรมแสดงให้เห็นถึงสภาพแวดล้อมในการทำงานที่ปลอดภัย

  3. ความสมบูรณ์ของข้อมูล (Data Integrity): ปรับปรุงข้อมูลให้ถูกต้อง โดยไม่ละลาบละล้วง, ลบ, เปลี่ยน หรือทำลายการเข้าถึงข้อมูลที่เกี่ยวข้องกับช่องโหว่ด้านความปลอดภัย ซึ่งสิ่งเหล่านี้จะช่วยให้สามารถตรวจสอบหาสาเหตุได้ง่ายยิ่งขึ้น

  4. กิจกรรมต้องห้าม (Prohibited Activities): กิจกรรมที่ห้ามทำ ซึ่งประกอบด้วยการหลอกหลวงบุคคลผ่านโซเชียล (Social Engineering), สแปม (Spam), ฟิชชิ่ง (Phishing), โจมตีการให้บริการ (DoS), โจมตีแหล่งทรัพยากรข้อมูล และการทดสอบระบบอัตโนมัติ กิจกรรมเหล่านี้เป็นสิ่งต้องห้ามโดยเด็ดขาดสำหรับการทดสอบระบบ

  5. กฎข้อบังคับ (Legal Compliance): การปฎิบัติตามข้อกฎหมายเป็นสิ่งจำเป็น และในการแจ้งปัญหาของคุณ จะต้องไม่ทำฝ่าฝืนข้อกฎหมาย หรือข้อบังคับที่เกี่ยวข้องต่างๆ

  6. การรักษาความลับ (Confidentiality): ปรับปรุงการรักษาความลับ และห้ามเปิดเผยข้อมูลที่เกี่ยวข้องกับการแจ้งรายงานของคุณ, ช่องโหว่, หรือข้อมูลที่คุณได้แจ้งให้กับ Funding Societies รวมทั้งห้ามเปิดเผยรายละเอียดให้เป็นสาธารณะ

  7. การแสวงหาประโยชน์อย่างมีขอบเขต (Limited Exploitation): แสวงหาประโยชน์จากช่องโหว่ด้านความปลอดภัยในขอบเขตที่จำเป็นเท่านั้น เพื่อใช้ยืนยันสาเหตุของปัญหาที่เกิดขึ้น และห้ามแสวงหาประโยชน์นอกเหนือเกินความจำเป็น

  8. ความซื่อสัตย์ของการให้บริการ (Service Integrity): ห้ามจงใจทำลาย หรือทำให้การให้บริการของ Funding Societies มีความน่าเชื่อถือลดลง

  9. ห้ามการโจมตีแบบ Denial-of-Service (DOS): ห้ามมีส่วนร่วมไม่ว่าจะรูปแบบใดก็ตาม ที่เป็นการโจมตี Denial-of-Service (DOS) ซึ่งเป็นการโจมตีระบบด้วยการส่งคำร้องไปที่เซิร์ฟเวอร์จำนวนมาก จนทำให้ระบบไม่สามารถทำงานต่อได้ หรือเกิดผลกระทบที่ส่งผลต่อการให้บริการของ Funding Societies

  10. เคารพสิทธิส่วนบุคคล (Respect for Privacy): ห้ามฝ่าฝืนความเป็นส่วนตัวของผู้ใช้งานรายอื่น, การทำลายข้อมูล, ขัดขวางการให้บริการ หรือมีส่วนร่วมกิจกรรมที่ไม่ปลอดภัยและเป็นอันตราย

ขั้นตอนการแจ้งปัญหา:

หากคุณพบช่องโหว่ด้านความปลอดภัย โปรดแจ้งมาที่อีเมล bugbounty@fundingsocieties.com พร้อมระบุรายละเอียดดังต่อไปนี้:

  • ระบุรายละเอียดถึงช่องโหว่ด้วนความปลอดภัย รวมถึงขั้นตอน, ภาพประกอบ, วิดิโอ หรือหลักฐานแนวคิด

  • รายละเอียดสำหรับติดต่อของคุณ

ทีมงานที่ดูแลเรื่องความปลอดภัยจะทำการตรวจสอบรายงานแจ้งเหตุ และแจ้งสถานะของการตรวจสอบให้คุณรู้อย่างต่อเนื่อง การรายงานปัญหาด้านความปลอดภัยให้กับ Funding Societies นั้น แสดงให้เห็นถึงการยอมรับข้อตกลงและเงื่อนไขของการเปิดเผยช่องโหว่ และระเบียบข้อบังคับที่แจ้งไว้ข้างต้น

คำนิยาม

เพื่อเป็นการแสดงความขอบคุณสำหรับการเปิดเผยข้อมูลอย่างมีความรับผิดชอบ ทางเราขอแสดงความขอบคุณผ่านทางอีเมล รวมทั้งบุคคลที่มีส่วนร่วมต่อการรักษาความปลอดภัยในบริการของเรา เช่น การระบุรายละเอียดและแจ้งรายงานช่องโหว่ด้านความปลอดภัยที่ได้รับผลกระทบ ซึ่งบุคคลเหล่านี้จะได้รับการแสดงความขอบคุณใน Hall of frame ของพวกเราโดยขึ้นอยู่กับความยินยอมของผู้ใช้

ช่องทางติดต่อ

หากคุณมีคำถามที่สงสัยโดยเฉพาะที่เกี่ยวข้องกับขอบเขตของนโยบาย และช่องโหว่ด้านความปลอดภัยต่างๆ สามารถติดต่อทีม Funding Societies bugbounty@fundingsocieties.com

ช่องโหว่ความปลอดภัยที่อยู่นอกขอบเขต

  • การครอบครองโดเมนย่อยโดยไม่มีหลักฐานที่ตรวจสอบได้

  • บัญชีใช้งานถูกนำข้อมูลออกไป (ตัวอย่างเช่น รายชื่อบน WordPress)

  • การเข้าถึงส่วนสำคัญและข้อมูลส่วนตัวโดยไม่ผ่านการพิสูจน์ตัวตน

  • ขาดการจำกัดอัตราของ API endpoints เว้นแต่เป็นการ Brute-Forcing รหัสผ่านโทเค็น ผ่าน entropy ที่ไม่เพียงพอ (เช่น รหัสผ่าน 4 หลักโดยไม่มีการตรวจสอบเทียบกับการจำกัดจำนวนคำขอ)

  • ช่องโหว่ด้านความปลอดภัยที่พบในอุปกรณ์สื่อสาร

  • การระบุ UUID ทุกประเภท

  • การแจ้งเตือน SSL

  • การรับเชิญและแจกรหัสโปรโมชั่น

  • Open redirects (Phishing) โดย 99% ของช่องโหว่ด้านความปลอดภัยนี้ จะมีผลกระทบต่อความปลอดภัยในระดับต่ำ สำหรับกรณีที่พบไม่บ่อย ซึ่งอาจทำให้มีผลกระทบในระดับสูง ตัวอย่างเช่น การขโมย Token Oauth (Open Authentication) ซึ่งเรายังต้องการทราบเกี่ยวกับปัญหาที่เกิดขึ้นเหล่านี้

  • การแจ้งเวอร์ชั่นซอฟต์แวร์ที่ไม่ได้มีการอัปเดต/ช่องโหว่โดยไม่มีหลักฐาน

  • การแจ้งช่องโหว่ด้านความปลอดภัยที่ส่งผลกระทบต่อผู้ให้บริการหรือเวอร์ชั่นของแอปพลิเคชันที่ล้าสมัยเท่านั้น – ซึ่งจะพิจารณาเฉพาะช่องโหว่ที่ดำเนินการโดยใช้เว็บเบราว์เซอร์เวอร์ชันล่าสุดบน Safari, FireFox, Chrome, Edge, IE และแอปพลิเคชันเวอร์ชันที่มีอยู่ใน Google Playstore หรือ AppStore

  • Stack traces, path disclosure และ directory listings

  • ปัญหาการแทรกแซง CSV

  • ความสมบูรณ์ของแนวทางปฎิบัติ

  • แจ้งปัญหาที่มีการคาดเดาเกี่ยวกับทฤษฎีความเสียหายเท่านั้น – เราแนะนำให้คุณจัดเตรียมหลักฐานไว้ในการแจ้งปัญหาทุกครั้งที่ส่งมาเสมอ

  • ช่องว่างด้านความปลอดภัยที่ผู้ใช้รายอื่นหรือทีม Funding Societies ไม่สามารถใช้ประโยชน์ได้ Self-XSS (โดยปกติสามารถทำได้โดยการฝัง JavaScript ไว้ในการตั้งค่าเบราว์เซอร์)

  • ช่องโหว่ด้านความปลอดภัยที่มีอยู่ในแซนด์บ็อกซ์ หรือสภาพแวดล้อมจำลอง

  • ช่องโหว่ด้านความปลอดภัยจะถูกรายงานโดยแอปพลิเคชันอัตโนมัติโดยไม่มีการวิเคราะห์เพิ่มเติมเกี่ยวกับวิธีการค้นพบ

  • ช่องโหว่ด้านความปลอดภัยที่ได้รับจากสแกนเนอร์อัตโนมัติสำหรับแอปพลิเคชันบนเว็บ (Acunetix, Vega ฯลฯ) โดยไม่มีการตรวจสอบด้วยตนเอง

  • การโจมตีแบบปฏิเสธการให้บริการ (DDOS) หรือกิจกรรมใด ๆ ที่อาจส่งผลให้เกิดการขัดขวางของการทำงาน

  • ข้อบกพร่องด้านความปลอดภัยในการแทรกแซงเนื้อหา

  • การปลอมแปลงคำขอข้ามไซต์ (CSRF) ที่มีความความปลอดภัยน้อยที่สุด (ออกจากระบบ CSRF ฯลฯ )

  • ไม่มีการตั้งค่าสถานะ Cookie ที่ไม่ได้รับการรับรองความถูกต้อง

  • ปลอมแปลงอีเมล

  • ขาดการตั้งค่า HTTP security headers

  • ขาดเครื่องหมายของ HTTPOnly และความปลอดภัยของ Cookie

  • ช่องโหว่ด้านความปลอดภัยที่เข้าถึงอุปกรณ์ หรือคอมพิวเตอร์ของเหยื่อ

  • รายงานการตรวจสอบของ SSL/TLS (ผลลัพธ์ที่ได้รับจากแอปพลิเคชันออนไลน์ เช่น SSL Labs)

  • ปัญหาช่องว่างของแบนเนอร์ (เช่น เวอร์ชันของเว็บเซิร์ฟเวอร์ที่ใช้งานอยู่)

  • การเปิดพอร์ทโดยไม่มีการพิสูจน์ตัวตน ซึ่งจะแสดงให้เห็นถึงช่องโหว่ด้านความปลอดภัย

  • การขโมยลิงค์ที่เกิดความเสียหาย

  • เข้าไปในสำนักงาน Funding Societies โยนชิปไปทุกที่ ปล่อยแรคคูนผู้หิวโหยจำนวนหนึ่ง และจี้อาคารผู้โดยสารที่ถูกทิ้งร้างในสถานที่ทำงานที่ปลดล็อคในขณะที่พนักงานกำลังเสียสมาธิ: การหลอกลวงเหนื่อ โดยใช้หลักการพื้นฐานทางจิตวิทยา และศิลปะหลอกล่อให้เหยื่อเปิดเผยข้อมูล (Social Engineering ฯลฯ)