Here at Bitazza, we value the importance of security researchers’ efforts in helping to ensure the safety of our environment. Our Bug Bounty Program is in line with our mission and vision of being one of the most trusted platforms in the digital currency space. The Bug Bounty Program scope covers all software vulnerabilities in Bitazza’s services.


Responsible Disclosure

If you are able to identify a security vulnerability, we ask that all researchers make every effort not to leak data or damage the integrity of Bitazza’s systems and report the issue to us privately. This means to:
  • Provide us with a reasonable amount of time to fix the issue before publishing it elsewhere
  • Provide us with details (code, endpoints, etc.) of the vulnerability so we can find and fix it
  • Do not leak, tamper, or destroy any Bitazza data
  • Do not defraud Bitazza users or Bitazza itself (by making or enabling fraudulent transactions)
  • Do not create a large number of user accounts or fake data records


Submission Guidelines

Please limit each submission to one issue. Send your report to support@bitazza.com. Your email must include:

  • Problem Description: What were you attempting to achieve and what actually happened?
  • Operating Environment: (e.g., Dashboard, Market, Wallets, API Keys, etc.)
  • Expected vs. Actual Behavior: What should have happened versus what occurred.
  • Steps to Reproduce: Clear, concise, step-by-step instructions.  
  • Evidence: Attach relevant logs, screenshots, or videos showing the issue.
  • Other Info: Impact severity, URLs, or error codes.

Reward & Severity

Bitazza rewards bounties based on the severity of the vulnerability. The severity of the vulnerability can be categorized as such:
  • Critical Impact: Attackers can read or modify Sensitive Data in a system, execute arbitrary code on the system, or exfiltrate digital or fiat currency in some way.
  • Low Impact: Attackers can gain small amounts of unauthorized, low sensitivity information impacting a subset of users, or slightly impact the accuracy and performance of a system.
  • Critical Exploitability: Attackers can unilaterally exploit the finding without significant roadblocks or special conditions outside attacker control.
  • Low Exploitability: Exploitation is difficult due to several requirements, such as access limitations, complicated social engineering, guessing unknown values, or alignment of unpredictable race conditions.
  • Critical Severity: a state of immediate, easily accessible threat of large-scale compromise or irreversible damage to Bitazza or Bitazza customers.
  • Low Severity: a state of no immediate threat where an opportunity exists for an improvement that may mitigate a potential future vulnerability.


Based on the different levels of severity, exploitability, and impact; the report will be classified into one of the 4 reward tiers


Reward TierReward (THB)
CriticalUp to 100,000
High10,000 – 50,000
Medium3,000 – 5,000
Low300 – 1,000

Rewards are paid in USDT at the current market rate. 

Out of Scope

Vulnerabilities that do not fall into Bitazza’s bounty program are:

  • Social engineering
  • Physical security
  • Non-security-impacting UX issues
  • Deprecated Open Source libraries are not in scope.
    (If you would like to report a vulnerability for one of these libraries, please submit it via email. We do accept vulnerability reports through HackerOne for our currently supported, actively maintained open-source libraries.)
  • Vulnerabilities or weaknesses in third-party applications that integrate with Bitazza
  • Ability to abuse existing banking functions such as ACH or credit card chargebacks
  • Physical attacks against Bitazza employees, offices, or data centers
  • Social engineering of Bitazza employees or users (e.g. phishing)
  • Denial of service (SYN floods, Slowloris attacks, etc.)
  • Vulnerabilities in third-party integrations with the Bitazza API
  • Vulnerabilities that are strictly client-side
  • Vulnerabilities that require physical access, rooted/jailbroken devices, or debug access to a user’s device
  • Issues in our blog (https://blog.bitazza.co.th/) and social media accounts (Facebook, Twitter, etc.)
  • Issues in our support platform
  • Logout CSRF
  • User existence / user enumeration
  • Text-only injection in error pages
  • Unconfirmed reports from automated vulnerability scanners
  • Server and software versions in HTTP response headers
  • Lack of password complexity restrictions


Should you feel that a particular vulnerability not mentioned here should be in scope, please kindly proceed with submitting the report along with an explanation. 


Bitazza reserves the right to modify or cancel the Bug Bounty Program at any time.  

การรายงานช่องโหว่และโครงการ Bug Bounty


ที่บิทาซซ่า เราให้ความสำคัญกับความปลอดภัยของระบบเป็นอันดับหนึ่ง และเราก็ยังให้ความสำคัญกับความพยายามของนักวิจัยด้านความปลอดภัยในการช่วยดูแลสภาพแวดล้อมของเราให้ปลอดภัยอีกด้วย โครงการ Bug Bounty ของเราครอบคลุมถึงช่องโหว่ทางซอฟต์แวร์ในทุกบริการของบิทาซซ่า เพื่อมุ่งเน้นการเป็นแพลตฟอร์มสินทรัพย์ดิจิทัลที่น่าเชื่อถือที่สุด


ข้อกำหนดในการเปิดเผยข้อมูล (Responsible Disclosure)

หากคุณพบช่องโหว่ด้านความปลอดภัย เราขอให้นักวิจัยทุกท่านใช้ความพยายามอย่างเต็มที่เพื่อไม่ให้ข้อมูลรั่วไหลหรือสร้างความเสียหายต่อระบบของบิทาซซ่า (Bitazza) และโปรดรายงานปัญหาให้เราทราบเป็นการส่วนตัว ซึ่งมีข้อปฏิบัติดังนี้: 

  • ให้เวลาเราในระยะที่เหมาะสมเพื่อแก้ไขปัญหาก่อนที่จะนำไปเผยแพร่ที่อื่น   

  • แจ้งรายละเอียดแก่เรา (เช่น โค้ด, endpoints เป็นต้น) เพื่อให้เราสามารถค้นหาและแก้ไขช่องโหว่ได้   

  • ห้ามทำข้อมูลของบิทาซซ่ารั่วไหล, แก้ไขดัดแปลง หรือทำลายข้อมูล

  • ห้ามฉ้อโกงผู้ใช้งานบิทาซซ่า หรือบริษัทบิทาซซ่า (โดยการสร้างหรือสนับสนุนการทำธุรกรรมที่ทุจริต)   

  • ห้ามสร้างบัญชีผู้ใช้จำนวนมาก หรือสร้างบันทึกข้อมูลปลอม


หลักเกณฑ์การส่งรายงาน

กรุณาจำกัดการรายงาน 1 ปัญหาต่อ 1 อีเมล โดยส่งมาที่ support@bitazza.com ซึ่งต้องประกอบด้วยข้อมูลดังนี้:

  • รายงานที่สมบูรณ์จะต้องอธิบาย และสาธิตช่องโหว่ทางซอฟต์แวร์ที่เป็นอันตรายต่อบิทาซซ่า หรือลูกค้าของบิทาซซ่าได้อย่างชัดเจน
  • รายงานต้องมีความถูกต้องและอยู่ในขอบเขตที่กำหนดจึงจะมีสิทธิ์ได้รับเงินรางวัล
  • Bitazza จะใช้ดุลยพินิจแต่เพียงผู้เดียวในการตัดสินว่ารายงานนั้นผ่านเกณฑ์ได้รับรางวัลหรือไม่ รวมถึงจำนวนเงินรางวัลที่จะได้รับ 
  • รายงานต้องมีคำแนะนำขั้นตอนการทำซ้ำ (Step-by-step) เพื่อทดสอบช่องโหว่ที่ชัดเจน

รางวัลและระดับความรุนแรง

บิทาซซ่าจะเป็นผู้พิจารณารางวัลตามระดับความรุนแรง ของช่องโหว่ ซึ่งแบ่งหมวดหมู่ได้ดังนี้:

  • ผลกระทบระดับวิกฤต (Critical Impact): ผู้ทำการเจาะระบบสามารถอ่านหรือแก้ไขข้อมูลที่ละเอียดอ่อนในระบบ, รันโค้ดอันตราย (arbitrary code), หรือขโมยเงินดิจิทัลหรือเงินสดออกไปได้

  • ผลกระทบระดับต่ำ (Low Impact): ผู้ทำการเจาะระบบได้รับข้อมูลที่ไม่สำคัญจำนวนเล็กน้อยที่มีผลกับผู้ใช้เพียงบางกลุ่ม หรือส่งผลกระทบเพียงเล็กน้อยต่อความแม่นยำและประสิทธิภาพของระบบ

  • ความยากง่ายในการโจมตีระดับวิกฤต (Critical Exploitability): ผู้ทำการเจาะระบบสามารถเจาะระบบได้ด้วยตัวเองโดยไม่มีอุปสรรคสำคัญหรือเงื่อนไขพิเศษ

  • ความยากง่ายในการโจมตีระดับต่ำ (Low Exploitability): ผู้ทำการเจาะระบบทำได้ยากเนื่องจากมีข้อจำกัดหลายประการ เช่น การเข้าถึงที่จำกัด, ต้องใช้การหลอกล่อ (social engineering) ที่ซับซ้อน, ต้องเดาค่าที่ไม่ทราบ หรือต้องอาศัยจังหวะของระบบที่คาดเดาไม่ได้

  • ระดับความรุนแรงขั้นวิกฤต (Critical Severity): สถานะที่เป็นภัยคุกคามโดยตรง เข้าถึงได้ง่าย ส่งผลให้เกิดความเสียหายเป็นวงกว้างหรือความเสียหายที่ไม่อาจย้อนกลับคืนได้ต่อ Bitazza หรือลูกค้า

  • ระดับความรุนแรงขั้นต่ำ (Low Severity): สถานะที่ยังไม่มีภัยคุกคามในทันที แต่เป็นโอกาสในการปรับปรุงเพื่อลดความเสี่ยงของช่องโหว่ที่อาจเกิดขึ้นในอนาคต


โดยรายงานจะถูกจัดกลุ่มตามระดับความรุนแรง ความยากง่าย และผลกระทบ ออกเป็น 4 ระดับรางวัล:


ระดับความรุนแรงรางวัล (บาท)
วิกฤต (Critical)สูงสุด 100,000
สูง (High)10,000 – 50,000
กลาง (Medium)3,000 – 5,000
ต่ำ (Low)300 – 1,000

ซึ่งรางวัลจะจ่ายเป็นสกุลเงิน USDT ตามอัตราแลกเปลี่ยนตลาด ณ ขณะนั้น 

ข้อยกเว้น

รายการต่อไปนี้ ไม่ถือเป็นส่วนหนึ่ง ของโครงการ Bug Bounty:  

  • การใช้จิตวิทยา (Social Engineering) หรือการฟิชชิ่ง (Phishing) พนักงานหรือผู้ใช้งาน
  • ความปลอดภัยทางกายภาพ (Physical security) ต่อสำนักงาน, ศูนย์ข้อมูล หรือพนักงาน
  • ปัญหาด้านประสบการณ์ใช้งาน (UX) ที่ไม่มีผลต่อความปลอดภัย
  • ไลบรารี่ Open Source ที่ล้าสมัย (Deprecated)
    (หากต้องการรายงานโปรดส่งทางอีเมล เราจะรับผ่าน HackerOne เฉพาะไลบรารี่ที่ยังรองรับและดูแลอยู่ในปัจจุบันเท่านั้น)
  • ช่องโหว่ในแอปพลิเคชันหรือการเชื่อมต่อ (Integration) ของบุคคลที่สามที่รวมเข้ากับ API ของบิทาซซ่า
  • การแสวงหาผลประโยชน์จากฟังก์ชันธนาคารที่มีอยู่ เช่น ACH หรือการปฏิเสธการชำระเงินผ่านบัตรเครดิต (Chargebacks)
  • การโจมตีเพื่อปฏิเสธการให้บริการ (DoS/DDoS) เช่น SYN floods หรือ Slowloris
  • ช่องโหว่ที่เกิดขึ้นเฉพาะฝั่งลูกค้า (Client-side) เท่านั้น
  • ช่องโหว่ที่ต้องใช้การเข้าถึงตัวเครื่องโดยตรง, เครื่องที่ผ่านการ Root/Jailbreak หรือต้องใช้สิทธิ์การเข้าถึงเพื่อแก้บั๊ก (Debug access)
  • ปัญหาในบล็อก (blog.bitazza.co.th), แพลตฟอร์มช่วยเหลือ (bitazzahelp.freshdesk.com) หรือบัญชีโซเชียลมีเดียต่างๆ
  • Logout CSRF
  • การตรวจสอบรายชื่อผู้ใช้ (User enumeration)
  • การแทรกข้อความ (Text injection) ในหน้าแจ้งเตือนข้อผิดพลาด (Error pages)
  • รายงานที่ยังไม่ได้รับการยืนยันจากเครื่องมือสแกนช่องโหว่อัตโนมัติ
  • เวอร์ชันของเซิร์ฟเวอร์และซอฟต์แวร์ใน HTTP response headers
  • การขาดข้อกำหนดความซับซ้อนของรหัสผ่าน 


หากคุณพบช่องโหว่ที่ไม่ได้ระบุไว้ในที่นี้ แต่เห็นว่าควรจัดอยู่ในขอบเขต สามารถส่งรายงานพร้อมเหตุผลประกอบมาให้เราพิจารณาได้ 


บิทาซซ่าขอสงวนสิทธิ์ในการแก้ไขหรือยกเลิกโครงการ Bug Bounty ได้ตลอดเวลา