กฎหมาย
รายงานช่องโหว่ด้านความปลอดภั
การส่งช่องโหว่
วิธีรายงานปัญหาช่องโหว่ด้านความปลอดภัย
หากคุณพบปัญหาช่องโหว่ด้านความปลอดภัยในผลิตภัณฑ์หรือแอปพลิเคชันของ Nothing กรุณาส่งอีเมลไปที่ g_feedback@nothing.tech
ใช้ PGP key สาธารณะเพื่อเข้ารหัสอีเมลที่มีข้อมูลที่ละเอียดอ่อนและตรวจสอบว่า การสื่อสารทางความปลอดภัยที่ส่งมาจาก Nothing นั้นถูกต้อง
วันที่ใช้งาน: 4 กรกฎาคม 2022
วันที่หมดอายุ: ไม่มี
รหัสกุญแจ: 0xA785B8AA
ประเภทกุญแจ: RSA
ขนาดกุญแจ: 4096/4096
ลายนิ้วมือ: 96A4 6E60 11B0 32D9 8D54 B384 F6EF CEC6 A785 B8AA
ผู้ใช้: g_feedback@nothing.tech
ในอีเมลของคุณ กรุณาระบุข้อมูลดังต่อไปนี้:
- รายละเอียดของปัญหา
- ผลิตภัณฑ์และเวอร์ชันของซอฟต์แวร์
- ข้อมูลเกี่ยวกับการใช้งานที่ทราบ
- ประเภทของช่องโหว่
- ชื่อช่องโหว่
- ชื่อโดเมน
- ระดับของช่องโหว่
- รายละเอียดช่องโหว่
- รายละเอียดเพิ่มเติม
- ไฟล์แนบ (ถ้ามี)
- แผนการซ่อมแซม
กรุณาอธิบายขั้นตอนการค้นพบปัญหาและผลกระทบของมันด้วย รวมถึงเอกสารโค้ดที่เกี่ยวข้อง ภาพหน้าจอหรือวิดีโอที่เกี่ยวข้องด้วย ถ้าคุณใช้เครื่องมือดีบักระหว่างการทดสอบช่องโหว่ โปรดอัปโหลดเป็นไฟล์แนบ หากเครื่องมือมีขนาดใหญ่เกินไป กรุณาให้ลิงก์ดาวน์โหลดที่เกี่ยวข้อง นอกจากนี้กรุณาให้หลักฐานหรือการทดสอบช่องโหว่เพื่อยืนยันความถูกต้อง
หมายเหตุ: การไม่ปฏิบัติตามข้อกำหนดนี้อาจส่งผลให้รายงานของคุณไม่ผ่านกระบวนการตรวจสอบ
เมื่อนับเราได้รับรายงานช่องโหว่ เราจะดำเนินการตรวจสอบภายใน 30 วันทำการ และตอบกลับอีเมลของคุณด้วยผลการตรวจสอบ กรุณาตรวจสอบอีเมลของคุณอย่างต่อเนื่องสำหรับการอัปเดต
g_feedback@nothing.tech จะรวบรวมเฉพาะช่องโหว่ด้านความปลอดภัยที่เกี่ยวข้องกับผลิตภัณฑ์ของ Nothing หากคุณมีปัญหาอื่น ๆ ที่เกี่ยวข้องกับผลิตภัณฑ์ คุณสามารถติดต่อเราผ่านทางหน้านี้ contact us
รางวัลสำหรับการรายงานช่องโหว่
รางวัลสำหรับการรายงานช่องโหว่เพื่อเสริมแรงจูงใจให้บุคคลรายงานช่องโหว่ด้านความปลอดภัย รางวัลมีลำดับขั้นตามระดับช่องโหว่ โดยผู้ที่รายงานปัญหาที่ร้ายแรงกว่าจะได้รับรางวัลสูงกว่า ตารางด้านล่างแสดงระดับช่องโหว่และรางวัลที่เกี่ยวข้อง
Critical
$1000 - $2000
การเปิดเผยข้อมูลที่ละเอียดอ่อน การเข้าถึงระบบหลักโดยไม่ได้รับอนุญาต หรือการจัดการข้อมูลที่ละเอียดอ่อนในการดำเนินงานที่ละเอียดอ่อน
High
$500 - $1000
ช่องโหว่ที่สามารถรับสิทธิ์การอนุญาตโดยตรง นำไปสู่การรั่วไหลของข้อมูลที่ละเอียดอ่อน และขโมยข้อมูลผู้ใช้ภายใน
Medium
$100 - $500
ช่องโหว่ที่ต้องมีการโต้ตอบเพื่อรับสิทธิ์การอนุญาต นำไปสู่การรั่วไหลของข้อมูลอย่างรุนแรง และขโมยข้อมูลผู้ใช้ภายใน
Low
$20 - $100
เฉพาะในสภาพแวดล้อมที่เฉพาะเจาะจงเท่านั้นที่การเข้าถึงสิทธิ์การอนุญาตจะนำไปสู่การรั่วไหลของข้อมูล ขโมยข้อมูลผู้ใช้ภายใน
หากไม่มีคูปองร้านค้าในภูมิภาคของคุณ เราจะแปลงรางวัลเป็นสิ่งอื่นๆ ตามสัดส่วนที่เกี่ยวข้อง เงื่อนไขและข้อตกลงใช้กับคูปองทั้งหมด จำนวนและประเภทของคูปองขึ้นอยู่กับดุลยพินิจของ Nothing
แจ้งให้ทราบ:
สถานการณ์ต่อไปนี้จะไม่ได้รับรางวัล:
- ช่องโหว่ที่ไม่เกี่ยวข้องกับผลิตภัณฑ์ของ Nothing
- ช่องโหว่ที่ถูกเปิดเผยต่อสาธารณะก่อนที่จะแก้ไข
- ช่องโหว่ที่ถูกเปิดเผยต่อสาธารณะทางออนไลน์
- สำหรับช่องโหว่เดียวกัน เฉพาะผู้รายงานคนแรกจะได้รับรางวัล ผู้รายงานภายหลังจะไม่ได้รับรางวัล ช่องโหว่ที่พบในเวอร์ชันต่าง ๆ ยังถือว่าช่องโหว่เดียวกัน
- ผู้ที่ใช้งานช่องโหว่เพื่อทำร้ายผู้ใช้ รบกวนการดำเนินการธุรกิจ หรือขโมยข้อมูลผู้ใช้จะไม่ได้รับรางวัล นอกจากนี้ Nothing ขอสงวนสิทธิ์ในการดำเนินการทางกฎหมายต่อไป
- โดยการเข้าร่วมโปรแกรมรายงานช่องโหว่ คุณยอมรับและตกลงว่ารางวัลที่มอบให้นั้นขึ้นอยู่กับเงื่อนไขของโปรแกรมนี้ หากมีการให้รางวัลในรูปแบบเงินสดหรือต้องเสียภาษีอื่น คุณต้องรับผิดชอบในการปฏิบัติตามกฎหมายภาษีในท้องถิ่นและประกาศและชำระภาษีที่เกี่ยวข้อง Nothing ไม่รับผิดชอบต่อภาระภาษีรายบุคคลที่อาจเกิดขึ้น
- เนื่องจากข้อจำกัดทางกฎหมาย Nothing อาจไม่สามารถดำเนินการรางวัลสำหรับประเทศ/ภูมิภาคที่ถูกลงโทษ
รางวัลจะถูกลดระดับหรือล้มเลิกในสถานการณ์ต่อไปนี้:
- สำหรับข้อมูลที่มีความขัดแย้งระหว่างชื่อและเนื้อหา การลดระดับรางวัลจะถูกทำตาม และในกรณีที่ร้ายแรงรางวัลจะถูกยกเลิก
- การตรวจสอบจะถูกควบคุมอยู่บนมาตรฐานการรายงานที่มีคุณภาพสูง สำหรับการรายงานที่ขาดปัจจัยสำคัญ (รายละเอียดในข้อความ, หลักฐานภาพ, ขั้นตอนการทดสอบ, อินเทอร์เฟซความเสี่ยง, พารามิเตอร์ เป็นต้น), มีการจัดรายงานที่ไม่ดี และไม่สามารถทำซ้ำได้อย่างสม่ำเสมอ จะถูกลดระดับ/ละเลย
- การเปิดเผยรายละเอียดของช่องโหว่ให้สาธารณชนโดยไม่ได้รับอนุญาตจาก Nothing Nothing ขอสงวนสิทธิ์ในการกู้คืนรางวัลและดำเนินการทางกฎหมายที่เกี่ยวข้อง รวมถึงการเรียกร้องความเสียหายและ/หรือการขอคำสั่งห้าม
สำหรับ URL เดียวกัน หากมีช่องโหว่หลายช่องในพารามิเตอร์หลายตัวรางวัลจะถูกมอบให้ตามช่องโหว่เดียว และรางวัลจะจัดให้ตามความรุนแรงที่มากที่สุดของแต่ละประเภท
หลายช่องโหว่ที่เกิดจากแหล่งเดียวกันจะถูกนับเป็นหนึ่งช่องโหว่ เช่น ข้อบกพร่องด้านความปลอดภัยหลายข้อที่เกิดจาก JS เดียวกัน ข้อบกพร่องด้านความปลอดภัยหลายหน้าที่เกิดจากระบบการเผยแพร่เดียวกัน ข้อบกพร่องด้านความปลอดภัยทั้งหมดที่เกิดจากการแก้ไขชื่อโดเมน ฯลฯ
หากคุณส่งช่องโหว่หลายช่องในรายงานเดียว เราจะมอบรางวัลให้กับระดับรุนแรงสูงสุดของช่องโหว่
เมื่อส่งช่องโหว่ กรุณายืนยันว่าส่งผลกระทบจริงต่อธุรกิจและส่งหลักฐานของผลกระทบจริง ความเสียหายทางอ้อมหรือการคาดการณ์จะไม่ถูกพิจารณาเมื่อจัดเกรด
รอบการให้รางวัล
เราจะจัดจำหน่ายรางวัลภายใน 30 วันทำการหลังจากการตรวจสอบช่องโหว่เสร็จสิ้น กรุณาตรวจสอบสถานะรางวัลของคุณอย่างทันท่วงที
ข้อมูลส่วนตัวที่เกี่ยวข้อง
เพื่อรับรางวัล คุณจำเป็นต้องให้ข้อมูลบัญชี NOTHING.tech ของคุณหรือข้อมูลบัญชีอื่นๆ อย่างไรก็ตาม เราจะไม่ขอข้อมูลส่วนตัวเพิ่มเติมในกระบวนการรายงานช่องโหว่ เราจะขอเพียงอีเมลที่ลงทะเบียนสำหรับการสื่อสารและข้อมูลบัญชีที่ลงทะเบียนสำหรับการออการางวัล
เราจะเข้าถึง ประมวลผล และแบ่งปันข้อมูลส่วนตัวของคุณตามนโยบายความเป็นส่วนตัวของเรา โดยการเข้าร่วม คุณตกลงที่จะเข้าถึง ใช้ และแบ่งปันข้อมูลส่วนตัวของคุณตามที่กล่าวไว้ข้างต้นและใน Privacy Policy หากคุณมีคำถามเกี่ยวกับนโยบายความเป็นส่วนตัวนี้หรือการดำเนินการ โปรดติดต่อเราที่ อีเมล: privacy@nothing.tech