NDID Platform

รางวัล: 5,000.0 - 40,000.0 บาท

ระยะเวลา: 01 Oct 2019 - 31 Dec 2019

รายชื่อเป้าหมาย
- NDID API
- NDID Smart Contract

รายละเอียด

NDID Platform คือ โครงสร้างพื้นฐานที่สำคัญของประเทศ ที่จะเชื่อมต่อการยืนยันตัวตนจากทุกภาคส่วนเข้าด้วยกัน เพื่อช่วยแก้ไขปัญหาในการทำธุรกรรมออนไลน์ อาทิ การปลอมแปลงเอกสาร หรือการสวมสิทธิ์ต่าง ๆ ทั้งนี้ NDID มีวัตถุประสงค์ที่จะยกระดับการทำธุรกรรมทางดิจิทัลให้มีประสิทธิภาพ มีความน่าเชื่อถือ และได้รับการรองรับทางกฎหมายในการทำธุรกรรมอิเล็กทรอนิกส์บนโลกดิจิทัล เช่น การทำความรู้จักลูกค้าผ่านช่องทางอิเล็กทรอนิกส์ หรือ e-KYC, การเปิดบัญชีธนาคารผ่านออนไลน์ โดยไม่ต้องไปทำธุรกรรมที่สาขาธนาคาร เป็นต้น โดยข้อมูลเพิ่มเติมเกี่ยวกับ NDID Platform และกระบวนการทำงานต่าง ๆ ของ NDID สามารถดูรายละเอียดเพิ่มเติมได้ที่ https://ndidplatform.github.io/docs/introduction

กิจกรรมที่อนุญาต

ตัวอย่างช่องโหว่ที่เป็นไปตามเงื่อนไข
- ข้อบกพร่องของระบบที่ทำให้สามารถเข้าถึงเซิร์ฟเวอร์ เข้าถึงฟังก์ชั่นการดูแลเว็บไซต์ หรือเข้าถึงข้อมูลการทำธุรกรรมต่าง ๆ
- ช่องโหว่ที่เกี่ยวข้องกับการรั่วไหลหรือการจัดการบัญชีผู้ใช้ เช่น private keys หรือ ข้อมูลส่วนบุคคลของผู้ใช้
- ช่องโหว่ที่ส่งผลต่อความพร้อมใช้งาน (Availability) ของ NDID Network
- ช่องโหว่ตาม OWASP Top 10

กิจกรรมต้องห้าม

- ห้ามผู้เชี่ยวชาญกระทำการใด ๆ ที่เป็นการละเมิดข้อมูลส่วนบุคคล ทำให้เกิดความเสียหาย หรือเกิดการรั่วไหลของข้อมูล
- ห้ามใช้การโจมตีในลักษณะ Social Engineering, Phishing, หรือการโจมตีที่มีเป้าหมายเป็นพนักงานผู้ใช้หรือ infrastructure เช่น การโจมตีด้วยวิธี DDoS ในระดับ Network

ข้อกฎหมาย (เงื่อนไขและข้อตกลง)

ขอบเขต
1. NDID API
URL : https://github.com/ndidplatform/api
API Doc : https://ndidplatform.github.io/docs/api

2. NDID Smart Contract
URL : https://github.com/ndidplatform/smart-contract

คำอธิบายการทดสอบ
- ช่องโหว่บน NDID API และ NDID Nodes
- ตรวจสอบ Source code
- ความปลอดภัยของ Smart Contract
- ความปลอดภัยของ Protocol

เกณฑ์ในการตรวจสอบช่องโหว่ที่ได้รับการรายงาน (Eligible Criteria)
- รูปแบบรายงานจะต้องระบุรายละเอียดเกี่ยวกับช่องโหว่ รวมถึงขั้นตอนการทดสอบที่ชัดเจนให้เพียงพอที่จะสามารถทำซ้ำได้ และต้องมีการ Proof of Concept (POC)
- ในกรณีที่เป็นช่องโหว่เดียวกัน ผู้ที่รายงานช่องโหว่เป็นคนแรกและได้รับการรับรองจากทีมงาน PentestCrowd เท่านั้นที่จะได้รับรางวัล
- ต้องปฏิบัติตามนโยบายการเปิดเผยช่องโหว่ (Vulnerability Disclosure Policy) อย่างเคร่งครัด โดยไม่อนุญาตให้มีการเปิดเผยช่องโหว่ต่อสาธารณะหรือเปิดเผยช่องโหว่ต่อบุคคลอื่นใด นอกเหนืองานทีมงาน PentestCrowd
- ช่องโหว่ที่เกิดจากสาเหตุของปัญหา (Root Cause) เดียวกันจะถูกพิจารณาว่าเป็น 1 ช่องโหว่ ทั้งนี้ผลการพิจารณาตัดสินโดยทีมงาน PentestCrowd ถือเป็นที่สิ้นสุด
- ช่องโหว่ที่พบต้องเป็นช่องโหว่ที่เกิดขึ้นใน Version ล่าสุด หรือ เป็นช่องโหว่ที่ยังไม่ได้รับการแก้ไขใน Version ล่าสุดเท่านั้น

Service Level Agreement ในการบริหารแคมเปญ
- เมื่อได้รับการรายงานช่องโหว่แล้ว ทีมงาน PentestCrowd จะตอบกลับ (acknowledge) ภายใน 2 วันทำการ
- การพิจารณาผลลัพธ์ของการตรวจสอบช่องโหว่และระดับความเสี่ยงของช่องโหว่ รวมถึงมูลค่ารางวัลที่จะได้รับในกรณีที่ปฏิบัติถูกต้องตามเงื่อนไข จะทราบผลภายใน 10 วันทำการ
- PentestCrowd จะดำเนินการจ่ายเงินรางวัลให้ผู้ที่รายงานช่องโหว่ถูกต้องตามเงื่อนไข ภายใน 30 วันทำการ หลังจากช่องโหว่ได้รับการอนุมัติ ทั้งนี้ ผู้เชี่ยวชาญต้องทำการยืนยันตัวตนพร้อมแจ้งข้อมูลเลขที่บัญชีธนาคาร หรือชื่อบัญชี Paypal ตามเงื่อนไขของ PentestCrowd ให้ครบถ้วนก่อน จึงจะสามารถรับเงินจาก PentestCrowd ได้
- PentestCrowd จะประกาศชื่อของผู้ที่ค้นพบช่องโหว่นั้น ๆ บน PentestCrowd ทั้งนี้จะไม่มีการระบุรายละเอียดของช่องโหว่ที่ค้นพบ

Countdown

ผู้ร่วมแคมเปญล่าสุด

FENX

MindMarky

dexonhud

HippoBooo

Oddhome

ที่อยู่สำนักงาน

อาคารเอเชียเซ็นเตอร์, ชั้น 16, ถนนสาทรใต้, แขวงทุ่งมหาเมฆ, เขตสาทร, กรุงเทพฯ 10120

เว็บไซต์ที่เกี่ยวข้อง

www.acinfotec.com


ติดต่อเรา

E-mail : [email protected]