นโยบายการเปิดเผยข้อมูลช่องโหว่ด้านความปลอดภัย
1. บทนำ
Trading Point Group (ต่อไปนี้เรียกว่า “Trading Point“) ตระหนักถึงความจำเป็นในการเข้าถึงชุมชนรักษาความปลอดภัยทางไซเบอร์เพื่อปกป้องข้อมูลของลูกค้าและทำงานร่วมกันเพื่อสร้างแนวทางแก้ไขและแอปพลิเคชั่นที่ปลอดภัยยิ่งขึ้น นโยบายนี้มีจุดประสงค์เพื่อเป็นแนวทางปฏิบัติที่ชัดเจนสำหรับนักวิจัยด้านความปลอดภัยในการดำเนินการค้นหาช่องโหว่ และเพื่อสื่อถึงความต้องการที่จะให้ส่งมอบช่องโหว่ที่พบให้กับเรา
นักวิจัยสามารถรายงานช่องโหว่ที่พบว่าเกี่ยวข้องกับระบบของ Trading Point ได้โดยสมัครใจ นโยบายนี้อธิบายถึงระบบและประเภทของการวิจัยที่ได้รับการครอบคลุมภายใต้นโยบายนี้ และวิธีการส่งรายงานเกี่ยวกับช่องโหว่ให้กับเรา
การส่งรายงานช่องโหว่อยู่ภายใต้ข้อกำหนดและเงื่อนไขที่กำหนดไว้ในหน้านี้ และการส่งรายงานช่องโหว่ไปยัง Trading Point จะเป็นการถือว่านักวิจัยรับทราบว่าตนได้อ่านและยอมรับข้อกำหนดและเงื่อนไขเหล่านี้แล้ว
2. เงื่อนไขและข้อกำหนด
2.1. ข้อยกเว้นความรับผิด / การกำหนดสิทธิ์
เมื่อท่านทำการวิจัยเกี่ยวกับช่องโหว่โดยแสดงเจตนาดีที่จะปฏิบัติตามนโยบายนี้ เราถือว่าการวิจัยของท่าน:
ได้รับการอนุญาตว่าด้วยพระราชบัญญัติการต่อต้านการเข้าถึงระบบคอมพิวเตอร์โดยมิชอบซึ่งมีผลบังคับใช้ และเราจะไม่สนับสนุนหรือดำเนินการทางกฎหมายกับท่านสำหรับการวิจัยของท่าน
ได้รับการอนุญาตว่าด้วยพระราชบัญญัติการตอบโต้การทุ่มตลาดและการอุดหนุน (Anti-Circumvention) ที่เกี่ยวข้อง และเราจะไม่ยื่นคำร้องต่อท่านสำหรับการหลีกเลี่ยงการควบคุมทางเทคโนโลยี
ถูกต้องตามกฎหมาย เป็นประโยชน์ต่อความปลอดภัยโดยรวมของอินเทอร์เน็ต และดำเนินการโดยสุจริต
ท่านต้องปฏิบัติตามกฎหมายที่มีผลบังคับใช้ทั้งหมด หากมีการดำเนินการทางกฎหมายที่เริ่มต้นโดยบุคคลที่สามต่อท่านสำหรับกิจกรรมที่ท่านดำเนินการโดยสุจริตตามนโยบายนี้ เราจะประกาศการอนุญาตนี้ให้เป็นที่ทราบโดยทั่วกัน
หากเมื่อใดก็ตามที่ท่านมีความกังวลหรือไม่แน่ใจว่าการวิจัยด้านความปลอดภัยของท่านขัดแย้งกับนโยบายนี้หรือไม่ โปรดส่งรายงานผ่านหนึ่งในช่องทางที่เป็นทางการของเรา (ตามที่ระบุไว้ด้านล่างนี้) ก่อนที่จะดำเนินการต่อไป
โปรดทราบว่า ข้อยกเว้นความรับผิดใช้กับการเรียกร้องทางกฎหมายภายใต้การควบคุมขององค์กรที่เข้าร่วมในนโยบายนี้เท่านั้น และนโยบายนี้ไม่ได้ผูกมัดบุคคลที่สามที่เป็นอิสระ
2.2. คำจำกัดความ
ภายใต้นโยบายนี้ "การวิจัย" หมายถึงกิจกรรมที่ท่าน:
แจ้งให้เราทราบโดยเร็วที่สุดหลังจากที่ท่านพบปัญหาด้านความปลอดภัยที่เกิดขึ้นจริงหรือที่อาจเกิดขึ้น
พยายามทุกวิถีทางเพื่อหลีกเลี่ยงการละเมิดความเป็นส่วนตัว การทำลายประสบการณ์ของผู้ใช้ การรบกวนระบบการผลิต และการทำลายหรือการบิดเบือนข้อมูล
ใช้ทรัพยากรให้เป็นประโยชน์ในขอบเขตที่จำเป็นเท่านั้นเพื่อยืนยันการมีอยู่ของช่องโหว่ด้านความปลอดภัย ห้ามใช้ประโยชน์จากช่องโหว่เพื่อทำอันตรายต่อข้อมูลหรือนำข้อมูลออกโดยมิชอบ สร้างการเข้าถึงบรรทัดคำสั่งถาวร หรือใช้ประโยชน์เพื่อตั้งไปยังระบบอื่น
เรายังขอร้องให้ท่าน:
ปฏิบัติตามกฎ รวมถึงปฏิบัติตามนโยบายนี้และข้อตกลงอื่น ๆ ที่เกี่ยวข้อง หากเกิดความขัดแย้งกันระหว่างนโยบายนี้กับข้อกำหนดอื่น ๆ ที่มีผลบังคับใช้ ให้ยึดข้อกำหนดของนโยบายนี้เป็นหลัก
โต้ตอบด้วยบัญชีทดสอบของท่านเองเท่านั้น
จำกัดการเปิดบัญชีไว้ทั้งหมดที่สอง (2) บัญชีสำหรับการทดสอบใด ๆ
ใช้เฉพาะช่องทางที่เป็นทางการในการเปิดเผยและ/หรือหารือเกี่ยวกับข้อมูลช่องโหว่กับเราเท่านั้น
ส่งช่องโหว่หนึ่งจุดต่อรายงานหนึ่งรายงาน เว้นแต่ท่านจำเป็นต้องเชื่อมโยงช่องโหว่หลายจุดเพื่อแสดงให้เห็นผลกระทบ
ลบข้อมูลทั้งหมดที่ได้รับระหว่างการวิจัยอย่างระมัดระวังเมื่อส่งรายงานเรียบร้อยแล้ว
ทำการทดสอบเฉพาะในระบบที่อยู่ในขอบเขต และเคารพระบบและกิจกรรมที่อยู่นอกขอบเขต
หลีกเลี่ยงการใช้เครื่องมือสแกนแบบบุกรุกหรือแบบอัตโนมัติที่มีความแรงสูงเพื่อค้นหาช่องโหว่
ห้ามเปิดเผยช่องโหว่ต่อสาธารณะโดยไม่ได้รับความยินยอมเป็นลายลักษณ์อักษรล่วงหน้าจาก Trading Point
ห้ามทำ "การโจมตีโดยปฏิเสธการให้บริการ" ใด ๆ
ห้ามโจมตีทางวิศวกรรมสังคมและ/หรือความปลอดภัยทางกายภาพต่อสำนักงาน ผู้ใช้ หรือพนักงานของ Trading Point
ห้ามทดสอบแบบฟอร์มบนเว็บโดยอัตโนมัติ/ตามสคริปต์ โดยเฉพาะอย่างยิ่งแบบฟอร์ม "ติดต่อเรา" ที่ออกแบบมาสำหรับลูกค้าเพื่อติดต่อทีมดูแลลูกค้าของเรา
เมื่อท่านทราบว่ามีช่องโหว่หรือพบข้อมูลที่ละเอียดอ่อนใด ๆ โดยไม่ได้ตั้งใจ (ซึ่งรวมถึงข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ (PII) ข้อมูลทางการเงิน ข้อมูลที่เป็นกรรมสิทธิ์ หรือความลับทางการค้าของคู่สัญญาฝ่ายใดฝ่ายหนึ่ง) ท่านต้องหยุดการทดสอบ แจ้งให้เราทราบทันที และ ไม่เปิดเผยข้อมูลนี้แก่บุคคลอื่น ท่านควรจำกัดการเข้าถึงข้อมูลให้น้อยที่สุดเท่าที่จำเป็นเพื่อพิสูจน์แนวคิดอย่างมีประสิทธิภาพ
2.3. การรายงานช่องโหว่ / ช่องทางที่เป็นทางการ
โปรดรายงานปัญหาด้านความปลอดภัย / การค้นพบช่องโหว่ที่เกิดขึ้นจริงหรือที่อาจเกิดขึ้นผ่านทาง vulnerability.disclosure@xm.com โดยให้ข้อมูลที่เกี่ยวข้องทั้งหมด ยิ่งท่านให้รายละเอียดมากเท่าไร เราก็ยิ่งตรวจสอบและสามารถแก้ไขปัญหาได้ง่ายขึ้นเท่านั้น
เพื่อช่วยให้เราคัดแยกและจัดลำดับความสำคัญของการส่งรายงาน เราขอแนะนำให้รายงานของท่าน:
อธิบายตำแหน่งหรือเส้นทางแอปพลิเคชั่นที่ค้นพบช่องโหว่และผลกระทบที่อาจเกิดขึ้นจากการนำไปใช้
ให้คำอธิบายโดยละเอียดเกี่ยวกับขั้นตอนที่จำเป็นในการจำลองช่องโหว่ (สคริปต์หรือภาพหน้าจอที่พิสูจน์แนวคิดได้จะเป็นประโยชน์มาก)
ใส่รายละเอียดให้มากที่สุดเท่าที่ทำได้
ใส่เลขที่อยู่ไอพี (IP address) ที่ท่านกำลังทดสอบ ที่อยู่อีเมล ตัวแทนผู้ใช้ (User agent) และชื่อผู้ใช้ที่ใช้ในแพลตฟอร์มซื้อขาย (หากมี)
จัดทำรายงานเป็นภาษาอังกฤษ หากเป็นไปได้
หากท่านมีความเห็นว่าช่องโหว่นั้นร้ายแรงหรือมีข้อมูลที่ละเอียดอ่อน ท่านสามารถส่งอีเมลที่เข้ารหัส PGP ให้กับทีมงานของเราโดยใช้คีย์ PGP ของเรา
แอป Android
แอปพลิเคชั่น XM Android (com.xm.webapp)
แอป iOS
แอปพลิเคชั่น XM iOS (id1072084799)
b) ระบบ/บริการที่อยู่นอกขอบเขต
บริการใด ๆ (เช่น บริการที่มีการเชื่อมต่อ) ระบบ หรือโดเมนที่ไม่ได้ระบุไว้อย่างชัดเจนในหัวข้อ "ระบบ/บริการในขอบเขต" ข้างต้น จะไม่รวมอยู่ในขอบเขตและไม่ได้รับอนุญาตให้ทำการทดสอบ นอกจากนี้ ช่องโหว่ที่พบในระบบจากผู้ให้บริการของเรานั้นถือว่าอยู่นอกขอบเขตของนโยบายนี้และควรได้รับการรายงานโดยตรงไปยังผู้ให้บริการตามนโยบายการเปิดเผยข้อมูลความเสี่ยง (หากมี) หากท่านไม่มั่นใจว่าระบบอยู่ในขอบเขตหรือไม่ โปรดติดต่อเราที่ vulnerability.disclosure@xm.com
c) ช่องโหว่ที่อยู่ในขอบเขต
การใส่หรือแฝงคำสั่ง SQL (SQL Injection)
การโจมตีแบบ Cross-Site Scripting (XSS)
การโจมตีแบบ Remote code execution (RCE)
การโจมตีแบบ Server-Side Request Forgery (SSRF)
การตรวจสอบสิทธิ์และการจัดการเซสชั่นที่ใช้งานไม่ได้
ช่องโหว่แบบ Insecure Direct Object Reference (IDOR)
การเปิดรับข้อมูลที่ละเอียดอ่อน
ช่องโหว่แบบ Directory/Path traversal
ช่องโหว่แบบ Local/Remote File Inclusion
การโจมตีแบบ Cross-Site Request Forgery (CSRF) ซึ่งมีผลกระทบสูงที่พิสูจน์ได้
การโจมตีแบบ Open Redirect ในพารามิเตอร์ที่ละเอียดอ่อน
ช่องโหว่ Subdomain takeover (สำหรับ Subdomain takeover ให้เพิ่มข้อความที่เป็นมิตร เช่น "เรากำลังดำเนินการแก้ไข และจะกลับมาในเร็ว ๆ นี้")
d) ช่องโหว่ที่อยู่นอกขอบเขต
ช่องโหว่บางจุดถือว่าอยู่นอกขอบเขตสำหรับโปรแกรมเปิดเผยข้อมูลช่องโหว่ ช่องโหว่ต่าง ๆ ที่อยู่นอกขอบเขตประกอบด้วยแต่ไม่จำกัดเพียง:
ปัญหาการจัดเรียงอีเมล ซึ่งรวมถึงการตั้งค่า SPF, DKIM, DMARC
ช่องโหว่แบบ Clickjacking ที่ไม่นำไปสู่การกระทำที่ละเอียดอ่อน เช่น การแก้ไขบัญชี
การหลอกลวงแบบ Self-XSS (เช่น เมื่อผู้ใช้อาจต้องถูกหลอกให้วางโค้ดลงในเว็บเบราว์เซอร์ของตน)
การปลอมแปลงเนื้อหาซึ่งมีผลกระทบที่เกิดขึ้นน้อยที่สุด (เช่น การแทรกข้อความ non-HTML)
การโจมตีแบบ Cross-Site Request Forgery (CSRF) ซึ่งมีผลกระทบที่เกิดขึ้นน้อยมาก (เช่น การโจมตีแบบ CSRF ในแบบฟอร์มการเข้าสู่ระบบหรือออกจากระบบ)
การโจมตีแบบ Open Redirect เว้นแต่จะสามารถแสดงผลกระทบด้านความปลอดภัยเพิ่มเติมได้
การโจมตีแบบ CRLF ซึ่งมีผลกระทบที่เกิดขึ้นน้อยมาก
การโจมตีแบบ Host header injection ซึ่งมีผลกระทบที่เกิดขึ้นน้อยมาก
ไม่มีการตั้งค่าสถานะ HttpOnly หรือ Secure flag ในคุกกี้ที่ไม่ละเอียดอ่อน
ไม่มีแนวทางปฏิบัติที่ดีที่สุดในการกำหนด SSL/TLS และการเข้ารหัส (Cipher)
ไม่มีหรือกำหนดค่า HTTP security headers ไม่ถูกต้อง (เช่น CSP, HSTS)
แบบฟอร์มที่ไม่มีระบบทดสอบอัตโนมัติเพื่อพิสูจน์ว่าเป็นมนุษย์หรือคอมพิวเตอร์ (CAPTCHA)
การแจงนับชื่อผู้ใช้/อีเมลผ่านข้อความแสดงข้อผิดพลาดในหน้าเข้าสู่ระบบ
การแจงนับชื่อผู้ใช้/อีเมลผ่านข้อความแสดงข้อผิดพลาดในหน้าลืมรหัสผ่าน
ปัญหาที่ต้องการการโต้ตอบของผู้ใช้ที่ไม่น่าเป็นไปได้
ความซับซ้อนของรหัสผ่านหรือปัญหาอื่นๆ ที่เกี่ยวข้องกับนโยบายบัญชีหรือรหัสผ่าน
การขาดจำนวนชั่วโมงที่แต่ละอุปกรณ์สามารถใช้งานได้ต่อเนื่อง (Session-Timeout)
การโจมตีแบบ Brute force (การสุ่มรหัสผ่านด้วยทุกความเป็นไปได้ของตัวอักษรในแต่ละหลัก)
ปัญหาการจำกัดอัตราสำหรับการดำเนินการที่ไม่สำคัญ
ช่องโหว่ของ WordPress ที่ไม่มีหลักฐานว่าสามารถใช้ประโยชน์ได้
การเปิดเผยเวอร์ชั่นของซอฟต์แวร์ที่มีช่องโหว่โดยไม่มีหลักฐานว่าสามารถใช้ประโยชน์ได้
กิจกรรมใด ๆ ที่อาจนำไปสู่การทำให้บริการของเราหยุดชะงัก (DoS)
การขาดการป้องกันรูท / บายพาสการป้องกันรูท (แอปพลิเคชั่นมือถือ)
การขาด SSL Certificate Pinning / บายพาส SSL Certificate Pinning SSL (แอปพลิเคชั่นมือถือ)
การขาดการทำให้มนุษย์อ่านโค้ดได้ยากขึ้น (Code Obfuscation) (แอปพลิเคชั่นมือถือ)
2.5. ช่วงเวลาในการตอบสนอง
Trading Point มีความมุ่งมั่นที่จะประสานงานกับท่านอย่างเปิดเผยและรวดเร็วที่สุดเท่าที่จะเป็นไปได้ และจะพยายามอย่างเต็มที่เพื่อให้บรรลุเป้าหมายในการตอบสนองต่อไปนี้สำหรับนักวิจัยที่เข้าร่วมในโปรแกรมของเรา:
ช่วงเวลาในการตอบสนองครั้งแรก (นับจากวันที่ส่งรายงาน) คือสาม (3) วันทำการ ภายในสามวันทำการ เราจะรับทราบว่าได้รับรายงานของท่านแล้ว
ช่วงเวลาในการคัดแยก (จากการส่งรายงาน) คือห้า (5) วันทำการ
เราจะยืนยันการมีอยู่ของช่องโหว่ให้ท่านทราบและแสดงความโปร่งใสที่สุดเท่าที่จะเป็นไปได้เกี่ยวกับขั้นตอนที่เรากำลังดำเนินการใน ระหว่างกระบวนการแก้ไขอย่างสุดความสามารถ ตลอดจนปัญหาหรือความท้าทายที่อาจทำให้การแก้ไขล่าช้า เราจะพยายามแจ้งให้ ท่านทราบเกี่ยวกับความคืบหน้าของเราตลอดกระบวนการ
3. รางวัลตอบแทน
เราขอยกย่องผู้ที่สละเวลาและทุ่มเทให้กับการจัดทำรายงานช่องโหว่ด้านความปลอดภัยตามนโยบายนี้ อย่างไรก็ตาม ขณะนี้เราไม่มีรางวัลตอบแทนใด ๆ สำหรับการเปิดเผยช่องโหว่ กรณีนี้อาจเปลี่ยนแปลงในอนาคต
4. ข้อเสนอแนะ
หากท่านต้องการให้คำติชมหรือข้อเสนอแนะเกี่ยวกับนโยบายนี้ โปรดติดต่อเราที่ vulnerability.disclosure@xm.com
ขอขอบคุณที่ช่วยปกป้อง Trading Point และผู้ใช้งานของเราให้ปลอดภัย
5. ลายนิ้วมือคีย์ PGP (PGP key fingerprint)
F096 4A0E CA36 A301 18DF A742 DE89 DE1C 5283 013F
หมายเหตุ: โปรดเข้ารหัสข้อความของท่านด้วยคีย์ PGP ข้างต้นและใส่รหัสสาธารณะของท่านเองในอีเมล