™

เกี่ยวกับ Bug Bounty Program ของบิทาซซ่า

บิทาซซ่าให้คุณค่าและมองเห็นความสำคัญของนักวิจัยด้านความปลอดภัย ผู้มีบทบาทในการช่วยดูแลรักษาความปลอดภัยในสภาพแวดล้อมของเรา Bug Bounty Program ของเราสอดคล้องกับพันธกิจและวิสัยทัศน์ในการเติบโตเพื่อเป็นหนึ่งในแพลตฟอร์มที่มีความน่าเชื่อถือที่สุดในวงการสกุลเงินดิจิทัล ทั้งนี้ Bug Bounty Program ของเราครอบคลุมช่องโหว่ด้านการให้บริการบนซอฟต์แวร์ของบิทาซซ่าทั้งหมด

ความรับผิดชอบด้านการเปิดเผยข้อมูล

หากคุณสามารถระบุช่องโหว่ด้านความปลอดภัยของบิทาซซ่าได้ เราขอให้นักวิจัยทุกท่านพยายามทุกวิถีทางเพื่อระมัดระวังไม่ให้เกิดการรั่วไหลหรือความเสียหายของข้อมูล รวมถึงระบบรักษาความปลอดภัยของบิทาซซ่า โดยเราขอให้นักวิจัยส่งข้อมูลที่เกี่ยวข้องทั้งหมดให้แก่บิทาซซ่าโดยตรง นั้นหมายความว่า:

• ให้เวลาบิทาซซ่าในการแก้ไขปัญหาและจุดบกพร่องดังกล่าว ก่อนจะเปิดเผยข้อมูลเหล่านั้นสู่สาธารณะ
•  ให้ข้อมูลและรายละเอียดเกี่ยวกับจุดบกพร่องดังกล่าว (อาทิ code, endpoints และอื่นๆ) เพื่อให้บิทาซซ่าสามารถระบุและแก้ไขได้โดยเร็ว
•  ระมัดระวังไม่ให้เกิดการรั่วไหล ความเปลี่ยนแปลงหรือความเสียหายของข้อมูลของบิทาซซ่า
•  ห้ามกระทำการฉ้อโกงต่อผู้ใช้บิทาซซ่า และระบบบิทาซซ่า (ผ่านการอำนวยความสะดวกให้แก่การทำธุรกรรมฉ้อโกงในรูปแบบต่างๆ)
•  ห้ามสร้างบัญชีผู้ใช้งานจำนวนมาก และห้ามปลอมแปลงข้อมูล

ดังนั้น รายงานเกี่ยวกับช่องโหว่ด้านความปลอดภัยของผู้วิจัยจะต้องให้คำอธิบายและแสดงให้เห็นจุดอ่อนบนซอฟต์แวร์อันเป็นอันตรายต่อบิทาซซ่าและลูกค้าของบิทาซซ่าอย่างชัดเจน โดยรายงานดังกล่าวจะต้องมีความถูกต้อง เป็นไปตามเงื่อนไขของบิทาซซ่า โดยบิทาซซ่าจะเป็นผู้พิจารณาว่ารายงานดังกล่าวนับเป็นรายงานที่มีความเหมาะสมแก่การรับรางวัลหรือไม่ และสมควรจะได้รับรางวัลเท่าไหร่ โดยรายงานที่ถูกต้องจะต้องให้คำแนะนำอย่างละเอียดเกี่ยวกับขั้นตอนการเข้าถึงช่องโหว่ เพื่อให้บิทาซซ่าสามารถเลียนแบบการเข้าถึงช่องโหว่ดังกล่าวได้โดยสะดวก

บิทาซซ่าพิจารณามอบรางวัลให้แก่นักวิจัย โดยขึ้นอยู่กับระดับความรุนแรงของช่องโหว่นั้นๆ ระดับความรุนแรงของช่องโหว่ แบ่งเป็นประเภทได้ดังนี้:  

• ผลกระทบขั้นวิกฤติ: มิจฉาชีพสามารถเข้าไปอ่านและเปลี่ยนแปลงข้อมูลที่มีความอ่อนไหว (Sensitive Data) สามารถปล่อยโค้ดสำหรับโจมตีช่องโหว่บนระบบโดยพลการ (Arbitrary Code Execution) หรือก่อให้เกิดการรั่วไหลของสกุลเงินดิจิทัลหรือสกุลเงินเฟียตในทางใดทางหนึ่ง
• ผลกระทบขั้นต่ำ: มิจฉาชีพสามารถเข้าถึงข้อมูลที่มีความอ่อนไหวระดับต่ำโดยไม่ได้รับอนุญาต ก่อให้เกิดผลกระทบต่อผู้ใช้กลุ่มหนึ่ง รวมถึงความแม่นยำและประสิทธิภาพของระบบโดยรวมเล็กน้อย
• ช่องโหว่ขั้นวิกฤติ: มิจฉาชีพสามารถหาประโยชน์จากข้อมูลได้เพียงฝ่ายเดียว โดยไม่มีสิ่งกีดขวางหรือเงื่อนไขที่อยู่นอกเหนือการควบคุมของมิจฉาชีพ
• ช่องโหว่ขั้นต่ำ: มิจฉาชีพสามารถหาประโยชน์จากข้อมูลได้ แต่ทำได้ไม่สะดวก เนื่องจากเงื่อนไขต่างๆ อาทิ ข้อจำกัดด้านการเข้าถึง การโจมตีด้วยวิธีทางวิศวกรรมสังคมแบบซับซ้อน การคาดเดามูลค่าที่ไม่สามารถระบุได้ หรือ race conditions ที่คาดเดาไม่ได้
• ความรุนแรงขั้นวิกฤติ: สถานการณ์คุกคามที่ต้องได้รับการจัดการโดยทันที อาทิ สถานการณ์ที่ก่อให้เกิดช่องโหว่ด้านความปลอดภัยอย่างกว้างขวาง หรือสร้างความเสียหายต่อระบบและผู้ใช้งานบิทาซซ่าในระดับที่ไม่สามารถกู้คืนได้
• ความรุนแรงขั้นต่ำ: สถานการณ์คุกคามที่ไม่จำเป็นต้องได้รับการจัดการในทันที อันเป็นการคุกคามในระดับที่ก่อให้เกิดความจำเป็นในการพัฒนาระบบให้มีความแข็งแรงยิ่งขึ้น เพื่อป้องกันช่องโหว่อื่นๆในอนาคต

การพิจารณารางวัลจะขึ้นอยู่กับการประเมินของเราเกี่ยวกับผลกระทบและความรุนแรงต่อสภาพแวดล้อมของเรา แม้ว่าการจัดประเภทเช่น OWASP อาจถูกใช้เป็นแนวทางอ้างอิง แต่การจัดประเภทขั้นสุดท้ายจะขึ้นอยู่กับปัจจัยต่างๆ รวมถึงความรุนแรง ความสามารถในการโจมตี และผลกระทบของปัญหา รายงานจะถูกจัดประเภทเป็นหนึ่งในสี่ระดับของรางวัลตามลำดับ ได้แก่

• ระดับ Critical – 100,000 บาท
• ระดับ High – 10,000 – 15,000 บาท
• ระดับ Medium – 3,000 – 5,000 บาท
• ระดับ Low – 300 – 1,000 บาท

(นักวิจัยจะได้รับรางวัลในรูปแบบของโทเคน FDM ตามอัตราการแลกเปลี่ยน ณ เวลานั้น)

ขอบเขต

ช่องโหว่ที่ไม่สามารถนำมานับเป็นหนึ่งใน Bug Bounty Program ของบิทาซซ่า ได้แก่:

• การโจมตีด้วยวิธีทางวิศวกรรมสังคม
• ระบบการรักษาความปลอดภัยทางกายภาพ
• ข้อบกพร่องเกี่ยวกับประสบการณ์ผู้ใช้ที่ไม่เกี่ยวข้องกับระบบการรักษาความปลอดภัย
• คลังข้อมูลแบบ Open Source ที่เลิกใช้งานแล้ว หากคุณต้องการจะรายงานข้อบกพร่องเกี่ยวกับคลังข้อมูลเหล่านี้ กรุณาติดต่อเราทางอีเมล์
• ช่องโหว่หรือข้อบกพร่องเกี่ยวกับแอพพลิเคชั่นอื่นๆ ที่ทำงานร่วมกับบิทาซซ่า
• ความสามารถในการโกงระบบด้านการธนาคาร อาทิ ACH หรือ การปฏิเสธการชำระเงินโดยบัตรเครดิต
• การจู่โจมพนักงาน สำนักงานและศูนย์ข้อมูลของบิทาซซ่าทางกายภาพ
• การโจมตีด้วยวิธีทางวิศวกรรมสังคมโดยพนักงานหรือผู้ใช้บิทาซซ่า (อาทิ การหลอกลวงผู้ใช้งานผ่านการส่งอีเมล์ที่เรียกว่า phishing)
• การโจมตีแบบ denial of service (อาทิ SYN floods, Slowloris attacks และอื่นๆ)
• ช่องโหว่จากระบบอื่นๆ ที่ทำงานร่วมกันกับ API ของบิทาซซ่า
• ช่องโหว่ที่เกี่ยวเนื่องกับผู้ใช้งานเพียงฝ่ายเดียว
• ช่องโหว่ในระบบที่จำเป็นจะต้องใช้ความสามารถทางกายภาพในการเข้าถึง ต้องใช้อุปกรณ์ในการเจลเบรค/รูท หรือดีบั๊กเพื่อเข้าถึงอุปกรณ์ของผู้ใช้
• ปัญหาที่พบในบล็อก (https://content.bitazza.com) และโซเชียลมีเดียของเรา (Facebook, Twitter, etc.)
• ปัญหาที่พบบนแพลตฟอร์มด้านการช่วยเหลือของเรา 
• ปัญหาเรื่องการล๊อกเอาท์แบบ CSRF
• ช่องโหว่ประเภท User existence / user enumeration
• การโจมตีแบบ text-only injection ใน error pages
• รายงานที่ไม่ได้รับการยืนยันจากระบบอัตโนมัติแสกนตรวจสอบหาช่องโหว่ต่างๆ(Automated Vulnerability Scanners)
• เซิร์ฟเวอร์และซอฟต์แวร์ใน HTTP response headers
• ไม่มีการกำหนดความซับซ้อนของรหัสผ่าน

หากคุณรู้สึกว่ามีช่องโหว่หรือข้อบกพร่องบางประเภทที่ไม่ได้ครอบคลุมขอบเขตที่กล่าวมา คุณสามารถส่งรายงานเกี่ยวกับช่องโหว่หรือข้อบกพร่องดังกล่าวให้เรา พร้อมรายละเอียดและคำอธิบาย

บิทาซซ่าขอสงวนสิทธิ์ในการแก้ไขหรือยกเลิก Bug Bounty Program ในเวลาที่บิทาซซ่าเห็นสมควร