Báo Cáo Lỗ Hổng Bảo Mật (Responsible Disclosure)

Báo Cáo Lỗ Hổng Bảo Mật (Responsible Disclosure)

Trang này cung cấp thông tin và hướng dẫn dành cho các cá nhân, tổ chức hoặc chuyên gia bảo mật muốn báo cáo lỗ hổng an ninh liên quan đến hệ thống Hitclub.

Hitclub khuyến khích việc tiết lộ có trách nhiệm (Responsible Disclosure) nhằm giúp hệ thống vận hành an toàn hơn, bảo vệ người dùng và dữ liệu khỏi các rủi ro bảo mật.

1. Phạm vi áp dụng

Chính sách này áp dụng cho các tài sản kỹ thuật do Hitclub quản lý, bao gồm:

  • Website chính thức của Hitclub
  • Ứng dụng Hitclub trên các nền tảng được hỗ trợ
  • Các API, hệ thống xác thực và dịch vụ liên quan trực tiếp đến nền tảng Hitclub

Những hệ thống, dịch vụ hoặc website của bên thứ ba (như nhà cung cấp thanh toán, dịch vụ mạng xã hội, kho ứng dụng…) không thuộc phạm vi chính sách này.

2. Các loại lỗ hổng được quan tâm

Hitclub đặc biệt quan tâm đến các lỗ hổng có thể ảnh hưởng đến:

  • Quyền riêng tư và dữ liệu người dùng
  • Bảo mật tài khoản (xác thực, phân quyền, OTP)
  • Tính toàn vẹn của hệ thống (injection, XSS, CSRF…)
  • Cơ chế xử lý giao dịch và xác thực dữ liệu
  • Truy cập trái phép hoặc leo thang đặc quyền

Các báo cáo có mô tả kỹ thuật rõ ràng sẽ được ưu tiên xem xét.

3. Phạm vi KHÔNG áp dụng (Out of Scope)

Để đảm bảo hệ thống vận hành ổn định, Hitclub không khuyến khích và không tiếp nhận các báo cáo liên quan đến:

  • Tấn công từ chối dịch vụ (DDoS / stress test)
  • Khai thác social engineering, lừa đảo người dùng
  • Tấn công vật lý hoặc xâm nhập hạ tầng ngoài kiểm soát
  • Các vấn đề chỉ mang tính suy đoán, không có bằng chứng kỹ thuật
  • Lỗ hổng trên thiết bị hoặc môi trường người dùng cuối

4. Cách gửi báo cáo lỗ hổng

Nếu bạn phát hiện lỗ hổng bảo mật, vui lòng gửi báo cáo thông qua một trong các kênh sau:

(Trong trường hợp cần trao đổi thông tin nhạy cảm, bạn có thể yêu cầu sử dụng phương thức mã hóa phù hợp.)

5. Nội dung báo cáo cần có

Để quá trình xử lý diễn ra nhanh chóng, báo cáo nên bao gồm:

  • Mô tả chi tiết lỗ hổng
  • Phạm vi ảnh hưởng (URL, tính năng, hệ thống liên quan)
  • Các bước tái hiện (reproduction steps)
  • Bằng chứng kỹ thuật (ảnh chụp, log, payload mẫu – nếu có)
  • Thông tin liên hệ của người báo cáo

6. Cam kết từ Hitclub

Hitclub cam kết:

  • Xác nhận đã nhận báo cáo trong thời gian hợp lý
  • Đánh giá và xử lý lỗ hổng theo mức độ ưu tiên
  • Không thực hiện hành động pháp lý đối với các báo cáo thiện chí
  • Ghi nhận đóng góp của người báo cáo (nếu phù hợp)

Việc công bố thông tin lỗ hổng ra bên ngoài nên được thực hiện sau khi Hitclub đã khắc phục hoặc có thỏa thuận rõ ràng, nhằm tránh rủi ro cho người dùng.

7. Thời gian phản hồi dự kiến (SLA tham khảo)

  • Xác nhận đã nhận báo cáo: trong vòng 72 giờ
  • Đánh giá mức độ ảnh hưởng: 3–7 ngày làm việc
  • Khắc phục hoặc đưa ra phương án xử lý: tùy mức độ nghiêm trọng

Thời gian thực tế có thể thay đổi tùy theo tính chất của từng trường hợp.

8. Ghi nhận & cảm ơn

Hitclub trân trọng sự hỗ trợ từ cộng đồng bảo mật trong việc phát hiện và báo cáo các vấn đề an ninh. Những đóng góp mang tính xây dựng giúp hệ thống ngày càng an toàn và ổn định hơn cho tất cả người dùng.

9. Liên hệ & thông tin bổ sung

  • Trang security.txt: https://hitclub.com/.well-known/security.txt
  • Chính sách bảo mật: https://hitclub.com/chinh-sach-bao-mat
  • Tuyên bố miễn trừ trách nhiệm: https://hitclub.com/mien-tru-trach-nhiem

Trang này thuộc phạm vi chính sách bảo mật của Hitclub và có thể được cập nhật khi cần thiết.

Show/Hide social
Liên hệ qua telegram Liên hệ qua facebook Liên hệ qua tin nhắn
Cuộn lên đầu trang

Cuộn lên trên

 HIT CLUB