Zalo Security

Chương trình tìm kiếm lỗ hổng bảo mật

Là nền tảng OTT hàng đầu ở Việt Nam, chúng tôi xem xét vấn đề bảo mật các sản phẩm và dịch vụ của mình một cách rất nghiêm túc. Để cung cấp các sản phẩm an toàn với người dùng, chúng tôi tin rằng việc hợp tác với các nhà nghiên cứu bảo mật trong nước và trên thế giới là quan trọng. Vì thế, chúng tôi đánh giá rất cao việc cộng đồng bảo mật báo cáo các lỗ hổng. Nếu bạn đã tìm thấy lỗ hổng bảo mật của các sản phẩm thuộc Zalo Group, vui lòng cho chúng tôi biết ngay qua email: . Đối với những lỗ hổng nghiêm trọng hợp lệ đã được khắc phục, chúng tôi sẽ ghi nhận thông qua Hall of Fame và có phần quà cho những nhà nghiên cứu bảo mật đầu tiên gửi báo cáo.

Phạm vi

Phạm vi các lỗ hổng bảo mật đủ điều kiện nằm trong sản phẩm hoặc trên website của Zalo Group.

Thông tin yêu cầu

Vui lòng gửi cho chúng tôi báo cáo bao gồm các thông tin sau:

  • Sản phẩm/Phiên bản/URLs bị ảnh hưởng
  • Thông tin về môi trường thử nghiệm (Hệ điều hành...)
  • Mô tả kĩ thuật và các bước thực hiện
  • POC có thể tận dụng khai thác
  • Impact của lỗ hổng

Chúng tôi chỉ chấp nhận các báo cáo có chứa bằng chứng đầy đủ, bản mô tả về cách thức khai thác và mức độ ảnh hưởng đến các dịch vụ của Zalo Group.

Ngoài phạm vi

Khi báo cáo các lỗ hổng, xin vui lòng xem xét kịch bản tấn công/khả năng khai thác và tác động bảo mật của lỗi. Các vấn đề sau được xem xét ngoài phạm vi:

  • Các lỗ hổng giả thuyết hoặc lý thuyết mà không có xác minh thực tế
  • Self XSS
  • Clickjacking, Tabjacking, Tabnabbing trên các trang không có hành động nhạy cảm
  • Tấn công từ chối dịch vụ (DOS)
  • Tấn công yêu cầu quyền truy cập vật lý vào thiết bị của người dùng hoặc sử dụng thiết bị đã root
  • Khả năng spam người dùng Zalo tùy ý bằng tin nhắn rác
  • Các lỗ hổng trên thư viện được biết đến trước đây mà không có bằng chứng (POC) hoạt động
  • Tiết lộ thông tin về đường dẫn, công nghệ sử dụng, phiên bản, API Key... mà không có chứng minh ảnh hưởng (Impact)
  • Thiếu các bằng chứng thực tế trong cấu hình SSL / TLS hay các header bảo mật
  • Báo cáo từ các công cụ quét tự động mà không chứng minh được mối đe dọa bảo mật hợp lệ
  • Các vấn đề về giả mạo nội dung và text injection
  • Các vấn đề về tấn công Social Engineering
  • Các vấn đề về Email Best Practices (Email Spoofing, SPF/DKIM/DMARC, records không hợp lệ, thiếu hoặc không đầy đủ, etc.)
  • Tấn công brute force với impact thấp
  • Các chính sách quản lý tài khoản (độ phức tạp của mật khẩu,...)
  • Bypass phần mềm độc hại URL
  • Các lỗ hổng ảnh hưởng đến các trình duyệt và nền tảng lỗi thời hoặc chưa được vá
  • Các dịch vụ được lưu trữ bên ngoài được sử dụng bởi Zalo Group
  • Các lỗ hổng zero-day được công bố gần đây trong các sản phẩm thương mại không có bản vá hoặc mới có bản vá gần đây ( < 2 tuần). Chúng tôi cần thời gian để vá các hệ thống của chúng tôi giống như mọi sản phẩm khác - vui lòng cho chúng tôi 2 tuần trước khi báo cáo các loại vấn đề này.

Hall of Fame

Chúng tôi rất cảm ơn các nhà nghiên cứu bảo mật và các công ty sau đây đã làm việc với chúng tôi trong việc tìm kiếm, hỗ trợ để giữ cho các sản phẩm của Zalo Group an toàn:

  • Team7 of CyberJutsu (cyberjutsu.io)
  • ThreatSpike Labs
  • Dat Pham (fb.com/datpham.overflow)