ที่บิทาซซ่า เราให้ความสำคัญกับความปลอดภัยของระบบเป็นอันดับหนึ่ง และเราก็ยังให้ความสำคัญกับความพยายามของนักวิจัยด้านความปลอดภัยในการช่วยดูแลสภาพแวดล้อมของเราให้ปลอดภัยอีกด้วย โครงการ Bug Bounty ของเราครอบคลุมถึงช่องโหว่ทางซอฟต์แวร์ในทุกบริการของบิทาซซ่า เพื่อมุ่งเน้นการเป็นแพลตฟอร์มสินทรัพย์ดิจิทัลที่น่าเชื่อถือที่สุด


ข้อกำหนดในการเปิดเผยข้อมูล (Responsible Disclosure)

หากคุณพบช่องโหว่ด้านความปลอดภัย เราขอให้นักวิจัยทุกท่านใช้ความพยายามอย่างเต็มที่เพื่อไม่ให้ข้อมูลรั่วไหลหรือสร้างความเสียหายต่อระบบของบิทาซซ่า (Bitazza) และโปรดรายงานปัญหาให้เราทราบเป็นการส่วนตัว ซึ่งมีข้อปฏิบัติดังนี้: 

  • ให้เวลาเราในระยะที่เหมาะสมเพื่อแก้ไขปัญหาก่อนที่จะนำไปเผยแพร่ที่อื่น   

  • แจ้งรายละเอียดแก่เรา (เช่น โค้ด, endpoints เป็นต้น) เพื่อให้เราสามารถค้นหาและแก้ไขช่องโหว่ได้   

  • ห้ามทำข้อมูลของบิทาซซ่ารั่วไหล, แก้ไขดัดแปลง หรือทำลายข้อมูล

  • ห้ามฉ้อโกงผู้ใช้งานบิทาซซ่า หรือบริษัทบิทาซซ่า (โดยการสร้างหรือสนับสนุนการทำธุรกรรมที่ทุจริต)   

  • ห้ามสร้างบัญชีผู้ใช้จำนวนมาก หรือสร้างบันทึกข้อมูลปลอม


หลักเกณฑ์การส่งรายงาน

กรุณาจำกัดการรายงาน 1 ปัญหาต่อ 1 อีเมล โดยส่งมาที่ support@bitazza.com ซึ่งต้องประกอบด้วยข้อมูลดังนี้:

  • รายงานที่สมบูรณ์จะต้องอธิบาย และสาธิตช่องโหว่ทางซอฟต์แวร์ที่เป็นอันตรายต่อบิทาซซ่า หรือลูกค้าของบิทาซซ่าได้อย่างชัดเจน
  • รายงานต้องมีความถูกต้องและอยู่ในขอบเขตที่กำหนดจึงจะมีสิทธิ์ได้รับเงินรางวัล
  • Bitazza จะใช้ดุลยพินิจแต่เพียงผู้เดียวในการตัดสินว่ารายงานนั้นผ่านเกณฑ์ได้รับรางวัลหรือไม่ รวมถึงจำนวนเงินรางวัลที่จะได้รับ 
  • รายงานต้องมีคำแนะนำขั้นตอนการทำซ้ำ (Step-by-step) เพื่อทดสอบช่องโหว่ที่ชัดเจน

รางวัลและระดับความรุนแรง

บิทาซซ่าจะเป็นผู้พิจารณารางวัลตามระดับความรุนแรง ของช่องโหว่ ซึ่งแบ่งหมวดหมู่ได้ดังนี้:

  • ผลกระทบระดับวิกฤต (Critical Impact): ผู้ทำการเจาะระบบสามารถอ่านหรือแก้ไขข้อมูลที่ละเอียดอ่อนในระบบ, รันโค้ดอันตราย (arbitrary code), หรือขโมยเงินดิจิทัลหรือเงินสดออกไปได้

  • ผลกระทบระดับต่ำ (Low Impact): ผู้ทำการเจาะระบบได้รับข้อมูลที่ไม่สำคัญจำนวนเล็กน้อยที่มีผลกับผู้ใช้เพียงบางกลุ่ม หรือส่งผลกระทบเพียงเล็กน้อยต่อความแม่นยำและประสิทธิภาพของระบบ

  • ความยากง่ายในการโจมตีระดับวิกฤต (Critical Exploitability): ผู้ทำการเจาะระบบสามารถเจาะระบบได้ด้วยตัวเองโดยไม่มีอุปสรรคสำคัญหรือเงื่อนไขพิเศษ

  • ความยากง่ายในการโจมตีระดับต่ำ (Low Exploitability): ผู้ทำการเจาะระบบทำได้ยากเนื่องจากมีข้อจำกัดหลายประการ เช่น การเข้าถึงที่จำกัด, ต้องใช้การหลอกล่อ (social engineering) ที่ซับซ้อน, ต้องเดาค่าที่ไม่ทราบ หรือต้องอาศัยจังหวะของระบบที่คาดเดาไม่ได้

  • ระดับความรุนแรงขั้นวิกฤต (Critical Severity): สถานะที่เป็นภัยคุกคามโดยตรง เข้าถึงได้ง่าย ส่งผลให้เกิดความเสียหายเป็นวงกว้างหรือความเสียหายที่ไม่อาจย้อนกลับคืนได้ต่อ Bitazza หรือลูกค้า

  • ระดับความรุนแรงขั้นต่ำ (Low Severity): สถานะที่ยังไม่มีภัยคุกคามในทันที แต่เป็นโอกาสในการปรับปรุงเพื่อลดความเสี่ยงของช่องโหว่ที่อาจเกิดขึ้นในอนาคต


โดยรายงานจะถูกจัดกลุ่มตามระดับความรุนแรง ความยากง่าย และผลกระทบ ออกเป็น 4 ระดับรางวัล:


ระดับความรุนแรงรางวัล (บาท)
วิกฤต (Critical)สูงสุด 100,000
สูง (High)10,000 – 50,000
กลาง (Medium)3,000 – 5,000
ต่ำ (Low)300 – 1,000

ซึ่งรางวัลจะจ่ายเป็นสกุลเงิน USDT ตามอัตราแลกเปลี่ยนตลาด ณ ขณะนั้น 

ข้อยกเว้น

รายการต่อไปนี้ ไม่ถือเป็นส่วนหนึ่ง ของโครงการ Bug Bounty:  

  • การใช้จิตวิทยา (Social Engineering) หรือการฟิชชิ่ง (Phishing) พนักงานหรือผู้ใช้งาน
  • ความปลอดภัยทางกายภาพ (Physical security) ต่อสำนักงาน, ศูนย์ข้อมูล หรือพนักงาน
  • ปัญหาด้านประสบการณ์ใช้งาน (UX) ที่ไม่มีผลต่อความปลอดภัย
  • ไลบรารี่ Open Source ที่ล้าสมัย (Deprecated)
    (หากต้องการรายงานโปรดส่งทางอีเมล เราจะรับผ่าน HackerOne เฉพาะไลบรารี่ที่ยังรองรับและดูแลอยู่ในปัจจุบันเท่านั้น)
  • ช่องโหว่ในแอปพลิเคชันหรือการเชื่อมต่อ (Integration) ของบุคคลที่สามที่รวมเข้ากับ API ของบิทาซซ่า
  • การแสวงหาผลประโยชน์จากฟังก์ชันธนาคารที่มีอยู่ เช่น ACH หรือการปฏิเสธการชำระเงินผ่านบัตรเครดิต (Chargebacks)
  • การโจมตีเพื่อปฏิเสธการให้บริการ (DoS/DDoS) เช่น SYN floods หรือ Slowloris
  • ช่องโหว่ที่เกิดขึ้นเฉพาะฝั่งลูกค้า (Client-side) เท่านั้น
  • ช่องโหว่ที่ต้องใช้การเข้าถึงตัวเครื่องโดยตรง, เครื่องที่ผ่านการ Root/Jailbreak หรือต้องใช้สิทธิ์การเข้าถึงเพื่อแก้บั๊ก (Debug access)
  • ปัญหาในบล็อก (blog.bitazza.co.th), แพลตฟอร์มช่วยเหลือ (bitazzahelp.freshdesk.com) หรือบัญชีโซเชียลมีเดียต่างๆ
  • Logout CSRF
  • การตรวจสอบรายชื่อผู้ใช้ (User enumeration)
  • การแทรกข้อความ (Text injection) ในหน้าแจ้งเตือนข้อผิดพลาด (Error pages)
  • รายงานที่ยังไม่ได้รับการยืนยันจากเครื่องมือสแกนช่องโหว่อัตโนมัติ
  • เวอร์ชันของเซิร์ฟเวอร์และซอฟต์แวร์ใน HTTP response headers
  • การขาดข้อกำหนดความซับซ้อนของรหัสผ่าน 


หากคุณพบช่องโหว่ที่ไม่ได้ระบุไว้ในที่นี้ แต่เห็นว่าควรจัดอยู่ในขอบเขต สามารถส่งรายงานพร้อมเหตุผลประกอบมาให้เราพิจารณาได้ 


บิทาซซ่าขอสงวนสิทธิ์ในการแก้ไขหรือยกเลิกโครงการ Bug Bounty ได้ตลอดเวลา