นโยบายการเปิดเผยช่องโหว่

1. บทนำ

Trading Point Group (ต่อไปนี้เรียกว่า "Trading Point") ตระหนักถึงความจำเป็นในการเข้าถึงชุมชนความปลอดภัยทางไซเบอร์เพื่อปกป้องข้อมูลของลูกค้าและทำงานร่วมกันเพื่อสร้างแนวทางแก้ไขและแอปพลิเคชั่นที่ปลอดภัยยิ่งขึ้น นโยบายนี้มีจุดประสงค์เพื่อเป็นแนวทางปฏิบัติที่ชัดเจนสำหรับนักวิจัยด้านความปลอดภัยในการดำเนินการค้นหาช่องโหว่ และเพื่อสื่อถึงความต้องการที่จะให้ส่งช่องโหว่ที่ค้นพบให้กับเรา

นักวิจัยสามารถรายงานช่องโหว่ที่ค้นพบว่าเกี่ยวข้องกับระบบของ Trading Point ได้โดยสมัครใจ นโยบายนี้อธิบายถึงระบบและประเภทของการวิจัยที่ได้รับการครอบคลุมภายใต้นโยบายนี้ และวิธีการส่งรายงานเกี่ยวกับช่องโหว่ให้กับเรา

การส่งรายงานช่องโหว่อยู่ภายใต้ข้อกำหนดและเงื่อนไขที่กำหนดไว้ในหน้านี้ และการส่งรายงานช่องโหว่ไปยัง Trading Point จะเป็นการถือว่านักวิจัยรับทราบว่าตนได้อ่านและยอมรับข้อกำหนดและเงื่อนไขเหล่านี้แล้ว

2. เงื่อนไขและข้อกำหนด

2.1. ข้อยกเว้นความรับผิด / การกำหนดสิทธิ์

เมื่อท่านทำการวิจัยเกี่ยวกับช่องโหว่โดยแสดงเจตนาดีที่จะปฏิบัติตามนโยบายนี้ เราถือว่าการวิจัยของท่าน:

• ได้รับการอนุญาตว่าด้วยพระราชบัญญัติการต่อต้านการเข้าถึงระบบคอมพิวเตอร์โดยมิชอบซึ่งมีผลบังคับใช้ และเราจะไม่สนับสนุนหรือดำเนินการทางกฎหมายกับท่านสำหรับการวิจัยของท่าน

• ได้รับการอนุญาตว่าด้วยพระราชบัญญัติการตอบโต้การทุ่มตลาดและการอุดหนุน (Anti-Circumvention) ที่เกี่ยวข้อง และเราจะไม่ยื่นคำร้องต่อท่านสำหรับการหลีกเลี่ยงการควบคุมทางเทคโนโลยี

• ถูกต้องตามกฎหมาย เป็นประโยชน์ต่อความปลอดภัยโดยรวมของอินเทอร์เน็ต และดำเนินการโดยสุจริต

ท่านต้องปฏิบัติตามกฎหมายที่มีผลบังคับใช้ทั้งหมด หากมีการดำเนินการทางกฎหมายที่เริ่มต้นโดยบุคคลที่สามต่อท่านสำหรับกิจกรรมที่ท่านดำเนินการโดยสุจริตตามนโยบายนี้ เราจะประกาศการอนุญาตนี้ให้เป็นที่ทราบโดยทั่วกัน

หากเมื่อใดก็ตามที่ท่านมีความกังวลหรือไม่แน่ใจว่าการวิจัยด้านความปลอดภัยของท่านขัดแย้งกับนโยบายนี้หรือไม่ โปรดส่งรายงานผ่านหนึ่งในช่องทางที่เป็นทางการของเรา (ตามที่ระบุไว้ด้านล่างนี้) ก่อนที่จะดำเนินการต่อไป

โปรดทราบว่า ข้อยกเว้นความรับผิดใช้กับการเรียกร้องทางกฎหมายภายใต้การควบคุมขององค์กรที่เข้าร่วมในนโยบายนี้เท่านั้น และนโยบายนี้ไม่ได้ผูกมัดบุคคลที่สามที่เป็นอิสระ

2.2. คำจำกัดความ

ภายใต้นโยบายนี้ "การวิจัย" หมายถึงกิจกรรมที่ท่าน:

• แจ้งให้เราทราบโดยเร็วที่สุดหลังจากที่ท่านพบปัญหาด้านความปลอดภัยที่เกิดขึ้นจริงหรือที่อาจเกิดขึ้น

• พยายามทุกวิถีทางเพื่อหลีกเลี่ยงการละเมิดความเป็นส่วนตัว การทำลายประสบการณ์ของผู้ใช้ การรบกวนระบบการผลิต และการทำลายหรือการบิดเบือนข้อมูล

• ใช้ทรัพยากรให้เป็นประโยชน์ในขอบเขตที่จำเป็นเท่านั้นเพื่อยืนยันการมีอยู่ของช่องโหว่ด้านความปลอดภัย ห้ามใช้ประโยชน์จากช่องโหว่เพื่อทำอันตรายต่อข้อมูลหรือนำข้อมูลออกโดยมิชอบ สร้างการเข้าถึงบรรทัดคำสั่งถาวร หรือใช้ประโยชน์เพื่อตั้งไปยังระบบอื่น

เรายังขอร้องให้ท่าน:

• ปฏิบัติตามกฎ รวมถึงปฏิบัติตามนโยบายนี้และข้อตกลงอื่น ๆ ที่เกี่ยวข้อง หากเกิดความขัดแย้งกันระหว่างนโยบายนี้กับข้อกำหนดอื่น ๆ ที่มีผลบังคับใช้ ให้ยึดข้อกำหนดของนโยบายนี้เป็นหลัก

• โต้ตอบด้วยบัญชีทดสอบของท่านเองเท่านั้น

• จำกัดการเปิดบัญชีไว้ทั้งหมดที่สอง (2) บัญชีสำหรับการทดสอบใด ๆ

• ใช้เฉพาะช่องทางที่เป็นทางการในการเปิดเผยและ/หรือหารือเกี่ยวกับข้อมูลช่องโหว่กับเราเท่านั้น

• ส่งช่องโหว่หนึ่งจุดต่อรายงานหนึ่งรายงาน เว้นแต่ท่านจำเป็นต้องเชื่อมโยงช่องโหว่หลายจุดเพื่อแสดงให้เห็นผลกระทบ

• ลบข้อมูลทั้งหมดที่ได้รับระหว่างการวิจัยอย่างระมัดระวังเมื่อส่งรายงานเรียบร้อยแล้ว

• ทำการทดสอบเฉพาะในระบบที่อยู่ในขอบเขต และเคารพระบบและกิจกรรมที่อยู่นอกขอบเขต

• หลีกเลี่ยงการใช้เครื่องมือสแกนแบบบุกรุกหรือแบบอัตโนมัติที่มีความแรงสูงเพื่อค้นหาช่องโหว่

• ห้ามเปิดเผยช่องโหว่ต่อสาธารณะโดยไม่ได้รับความยินยอมเป็นลายลักษณ์อักษรล่วงหน้าจาก Trading Point

• ห้ามทำ "การโจมตีโดยปฏิเสธการให้บริการ" ใด ๆ

• ห้ามโจมตีทางวิศวกรรมสังคมและ/หรือความปลอดภัยทางกายภาพต่อสำนักงาน ผู้ใช้ หรือพนักงานของ Trading Point

• ห้ามทดสอบแบบฟอร์มบนเว็บโดยอัตโนมัติ/ตามสคริปต์ โดยเฉพาะอย่างยิ่งแบบฟอร์ม "ติดต่อเรา" ที่ออกแบบมาสำหรับลูกค้าเพื่อติดต่อทีมดูแลลูกค้าของเรา

เมื่อท่านทราบว่ามีช่องโหว่หรือพบข้อมูลที่ละเอียดอ่อนใด ๆ โดยไม่ได้ตั้งใจ (ซึ่งรวมถึงข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ (PII) ข้อมูลทางการเงิน ข้อมูลที่เป็นกรรมสิทธิ์ หรือความลับทางการค้าของคู่สัญญาฝ่ายใดฝ่ายหนึ่ง) ท่านต้องหยุดการทดสอบ แจ้งให้เราทราบทันที และ ไม่เปิดเผยข้อมูลนี้แก่บุคคลอื่น ท่านควรจำกัดการเข้าถึงข้อมูลให้น้อยที่สุดเท่าที่จำเป็นเพื่อพิสูจน์แนวคิดอย่างมีประสิทธิภาพ

2.3. การรายงานช่องโหว่ / ช่องทางที่เป็นทางการ

โปรดรายงานปัญหาด้านความปลอดภัย / การค้นพบช่องโหว่ที่เกิดขึ้นจริงหรือที่อาจเกิดขึ้นผ่านทาง vulnerability.disclosure@xm.com โดยให้ข้อมูลที่เกี่ยวข้องทั้งหมด ยิ่งท่านให้รายละเอียดมากเท่าไร เราก็จะยิ่งตรวจสอบและแก้ไขปัญหาได้ง่ายขึ้นเท่านั้น

เพื่อช่วยให้เราคัดแยกและจัดลำดับความสำคัญของการส่งรายงาน เราขอแนะนำให้รายงานของท่าน:

• อธิบายตำแหน่งหรือเส้นทางแอปพลิเคชั่นที่ค้นพบช่องโหว่และผลกระทบที่อาจเกิดขึ้นจากการนำไปใช้

• ให้คำอธิบายโดยละเอียดเกี่ยวกับขั้นตอนที่จำเป็นในการจำลองช่องโหว่ (สคริปต์หรือภาพหน้าจอที่พิสูจน์แนวคิดได้จะเป็นประโยชน์มาก)

• ใส่รายละเอียดให้มากที่สุดเท่าที่ทำได้

• ใส่เลขที่อยู่ไอพี (IP address) ที่ท่านกำลังทดสอบ ที่อยู่อีเมล ตัวแทนผู้ใช้ (User agent) และชื่อผู้ใช้ที่ใช้ในแพลตฟอร์มซื้อขาย (หากมี)

• จัดทำรายงานเป็นภาษาอังกฤษ หากเป็นไปได้

หากท่านมีความเห็นว่าช่องโหว่นั้นร้ายแรงหรือมีข้อมูลที่ละเอียดอ่อน ท่านสามารถส่งอีเมลที่เข้ารหัส PGP ให้กับทีมงานของเราโดยใช้คีย์ PGP ของเรา

2.4. ขอบเขต

a) ระบบ/บริการที่อยู่ในขอบเขต

b) ระบบ/บริการที่อยู่นอกขอบเขต

บริการใด ๆ (เช่น บริการเชื่อมต่อ) ระบบ หรือโดเมนที่ไม่ได้ระบุไว้อย่างชัดแจ้งในหัวข้อ "ระบบ/บริการในขอบเขต" ข้างต้น จะไม่รวมอยู่ในขอบเขตและไม่ได้รับอนุญาตให้ทำการทดสอบ นอกจากนี้ ช่องโหว่ที่พบในระบบจากผู้ให้บริการของเรานั้นถือว่าอยู่นอกขอบเขตของนโยบายนี้และควรได้รับการรายงานโดยตรงไปยังผู้ให้บริการตามนโยบายการเปิดเผยข้อมูล (หากมี) หากท่านไม่แน่ใจว่าระบบอยู่ในขอบเขตหรือไม่ โปรดติดต่อเราที่ vulnerability.disclosure@xm.com

c) ช่องโหว่ที่อยู่ในขอบเขต

• การใส่หรือแฝงคำสั่ง SQL (SQL Injection)

• การโจมตีแบบ Cross-Site Scripting (XSS)

• การโจมตีแบบ Remote code execution (RCE)

• การโจมตีแบบ Server-Side Request Forgery (SSRF)

• การตรวจสอบสิทธิ์และการจัดการเซสชั่นที่ใช้งานไม่ได้

• ช่องโหว่แบบ Insecure Direct Object Reference (IDOR)

• การเปิดรับข้อมูลที่ละเอียดอ่อน

• ช่องโหว่แบบ Directory/Path traversal

• ช่องโหว่แบบ Local/Remote File Inclusion

• การโจมตีแบบ Cross-Site Request Forgery (CSRF) ซึ่งมีผลกระทบสูงที่พิสูจน์ได้

• การโจมตีแบบ Open Redirect ในพารามิเตอร์ที่ละเอียดอ่อน

• ช่องโหว่ Subdomain takeover (สำหรับ Subdomain takeover ให้เพิ่มข้อความที่เป็นมิตร เช่น "เรากำลังดำเนินการแก้ไข และจะกลับมาในเร็ว ๆ นี้")

d) ช่องโหว่ที่อยู่นอกขอบเขต

ช่องโหว่บางจุดถือว่าอยู่นอกขอบเขตสำหรับโปรแกรมเปิดเผยข้อมูลช่องโหว่ ช่องโหว่ต่าง ๆ ที่อยู่นอกขอบเขตประกอบด้วยแต่ไม่จำกัดเพียง:

• ปัญหาการจัดเรียงอีเมล ซึ่งรวมถึงการตั้งค่า SPF, DKIM, DMARC

• ช่องโหว่แบบ Clickjacking ที่ไม่นำไปสู่การกระทำที่ละเอียดอ่อน เช่น การแก้ไขบัญชี

• การหลอกลวงแบบ Self-XSS (เช่น เมื่อผู้ใช้อาจต้องถูกหลอกให้วางโค้ดลงในเว็บเบราว์เซอร์ของตน)

• การปลอมแปลงเนื้อหาซึ่งมีผลกระทบที่เกิดขึ้นน้อยที่สุด (เช่น การแทรกข้อความ non-HTML)

• การโจมตีแบบ Cross-Site Request Forgery (CSRF) ซึ่งมีผลกระทบที่เกิดขึ้นน้อยมาก (เช่น การโจมตีแบบ CSRF ในแบบฟอร์มการเข้าสู่ระบบหรือออกจากระบบ)

• การโจมตีแบบ Open Redirect เว้นแต่จะสามารถแสดงผลกระทบด้านความปลอดภัยเพิ่มเติมได้

• การโจมตีแบบ CRLF ซึ่งมีผลกระทบที่เกิดขึ้นน้อยมาก

• การโจมตีแบบ Host header injection ซึ่งมีผลกระทบที่เกิดขึ้นน้อยมาก

• ไม่มีการบังคับให้ระบบรับส่งคุกกี้ที่ปลอดภัยด้วย HttpOnly หรือ Secure flag

• ไม่มีแนวทางปฏิบัติที่ดีที่สุดในการกำหนด SSL/TLS และการเข้ารหัส (Cipher)

• ไม่มีหรือกำหนดค่า HTTP security headers ไม่ถูกต้อง (เช่น CSP, HSTS)

• แบบฟอร์มที่ไม่มีระบบทดสอบอัตโนมัติเพื่อพิสูจน์ว่าเป็นมนุษย์หรือคอมพิวเตอร์ (CAPTCHA)

• การแจงนับชื่อผู้ใช้/อีเมลผ่านข้อความแสดงข้อผิดพลาดในหน้าเข้าสู่ระบบ

• การแจงนับชื่อผู้ใช้/อีเมลผ่านข้อความแสดงข้อผิดพลาดในหน้าลืมรหัสผ่าน

• ปัญหาที่ต้องการการโต้ตอบของผู้ใช้ที่ไม่น่าเป็นไปได้

• ความซับซ้อนของรหัสผ่านหรือปัญหาอื่นๆ ที่เกี่ยวข้องกับนโยบายบัญชีหรือรหัสผ่าน

• การขาดจำนวนชั่วโมงที่แต่ละอุปกรณ์สามารถใช้งานได้ต่อเนื่อง (Session-Timeout)

• การโจมตีแบบ Brute force (การสุ่มรหัสผ่านด้วยทุกความเป็นไปได้ของตัวอักษรในแต่ละหลัก)

• ปัญหาการจำกัดอัตราสำหรับการดำเนินการที่ไม่สำคัญ

• ช่องโหว่ของ WordPress ที่ไม่มีหลักฐานว่าสามารถใช้ประโยชน์ได้

• การเปิดเผยเวอร์ชั่นของซอฟต์แวร์ที่มีช่องโหว่โดยไม่มีหลักฐานว่าสามารถใช้ประโยชน์ได้

• กิจกรรมใด ๆ ที่อาจนำไปสู่การทำให้บริการของเราหยุดชะงัก (DoS)

• การขาดการป้องกันรูท / บายพาสการป้องกันรูท (แอปพลิเคชั่นมือถือ)

• การขาด SSL Certificate Pinning / บายพาส SSL Certificate Pinning SSL (แอปพลิเคชั่นมือถือ)

• การขาดการทำให้มนุษย์อ่านโค้ดได้ยากขึ้น (Code Obfuscation) (แอปพลิเคชั่นมือถือ)

2.5. ช่วงเวลาในการตอบสนอง

Trading Point มีความมุ่งมั่นที่จะประสานงานกับท่านอย่างเปิดเผยและรวดเร็วที่สุดเท่าที่จะเป็นไปได้ และจะพยายามอย่างเต็มที่เพื่อให้บรรลุเป้าหมายในการตอบสนองต่อไปนี้สำหรับนักวิจัยที่เข้าร่วมในโปรแกรมของเรา:

• ช่วงเวลาในการตอบสนองครั้งแรก (นับจากวันที่ส่งรายงาน) คือสาม (3) วันทำการ ภายในสามวันทำการ เราจะรับทราบว่าได้รับรายงานของท่านแล้ว

• ช่วงเวลาในการคัดแยก (จากการส่งรายงาน) คือห้า (5) วันทำการ

เราจะยืนยันการมีอยู่ของช่องโหว่ให้ท่านทราบและแสดงความโปร่งใสที่สุดเท่าที่จะเป็นไปได้เกี่ยวกับขั้นตอนที่เรากำลังดำเนินการใน ระหว่างกระบวนการแก้ไขอย่างสุดความสามารถ ตลอดจนปัญหาหรือความท้าทายที่อาจทำให้การแก้ไขล่าช้า เราจะพยายามแจ้งให้
ท่านทราบเกี่ยวกับความคืบหน้าของเราตลอดกระบวนการ

3. รางวัลตอบแทน

เราขอยกย่องผู้ที่สละเวลาและทุ่มเทให้กับการจัดทำรายงานช่องโหว่ด้านความปลอดภัยตามนโยบายนี้ อย่างไรก็ตาม ขณะนี้เราไม่มีรางวัลตอบแทนใด ๆ สำหรับการเปิดเผยช่องโหว่ กรณีนี้อาจเปลี่ยนแปลงในอนาคต

4. ข้อเสนอแนะ

หากท่านต้องการให้คำติชมหรือข้อเสนอแนะเกี่ยวกับนโยบายนี้ โปรดติดต่อเราที่ vulnerability.disclosure@xm.com

ขอขอบคุณที่ช่วยปกป้อง Trading Point และผู้ใช้งานของเราให้ปลอดภัย

5. ลายนิ้วมือคีย์ PGP (PGP key fingerprint)

F096 4A0E CA36 A301 18DF A742 DE89 DE1C 5283 013F

ดาวน์โหลดคีย์ PGP การเปิดเผยช่องโหว่ TP

หมายเหตุ: โปรดเข้ารหัสข้อความของท่านด้วยคีย์ PGP ด้านบนและใส่รหัสสาธารณะของท่านเองในอีเมล