Bảo mật

Cập nhật lần cuối: 15 tháng 3 năm 2026

Bảo mật của website này và quyền riêng tư của người dùng rất quan trọng với chúng tôi. Chúng tôi hoan nghênh việc công bố có trách nhiệm (responsible disclosure) các lỗ hổng bảo mật từ các nhà nghiên cứu bảo mật, lập trình viên và cộng đồng.

Trang này mô tả chính sách responsible disclosure của chúng tôi — cách báo cáo lỗ hổng, phạm vi (scope) áp dụng và cách chúng tôi phản hồi. Chúng tôi đề nghị bạn tuân thủ các hướng dẫn này khi kiểm tra và báo cáo các vấn đề bảo mật tiềm ẩn.

Báo cáo lỗ hổng

Nếu bạn phát hiện một lỗ hổng bảo mật, vui lòng báo cáo cho chúng tôi qua email. Không công khai lỗ hổng cho đến khi chúng tôi có đủ thời gian hợp lý để điều tra và khắc phục.

contact@freeonlinenosignup.com

Vui lòng ghi "Security Vulnerability Report" trong tiêu đề và cung cấp càng nhiều thông tin sau càng tốt:

  • Mô tả rõ ràng về lỗ hổng và tác động tiềm năng
  • URL, endpoint hoặc thành phần bị ảnh hưởng
  • Hướng dẫn từng bước để tái hiện vấn đề
  • Bất kỳ mã proof-of-concept, ảnh chụp màn hình hoặc ví dụ request/response
  • Tên hoặc handle của bạn nếu bạn muốn được ghi nhận (không bắt buộc)

Phạm vi (Scope)

Những mục sau được xem là trong phạm vi responsible disclosure:

  • Cross-site scripting (XSS)
  • Cross-site request forgery (CSRF)
  • Lỗ hổng injection phía máy chủ (SQL injection, command injection, v.v.)
  • Vượt qua xác thực hoặc phân quyền
  • Lộ dữ liệu nhạy cảm hoặc rò rỉ thông tin
  • Cấu hình bảo mật sai có thể bị kẻ tấn công khai thác
  • Open redirect có thể dùng cho tấn công phishing
  • Insecure direct object references
  • Remote code execution

Ngoài phạm vi

Những mục sau được xem là ngoài phạm vi và sẽ không được chấp nhận là báo cáo lỗ hổng hợp lệ:

  • Tấn công hoặc kiểm tra denial of service (DoS hoặc DDoS)
  • Tấn công brute force vào bất kỳ phần nào của website
  • Quét tự động mà không có sự cho phép bằng văn bản trước
  • Social engineering hoặc phishing nhắm vào người dùng hoặc nhân viên của chúng tôi
  • Vấn đề an ninh vật lý
  • Lỗ hổng trong dịch vụ, thư viện hoặc hạ tầng bên thứ ba không nằm dưới sự kiểm soát trực tiếp của chúng tôi — vui lòng báo cáo cho nhà cung cấp liên quan
  • Thiếu security headers nhưng không thể hiện lỗ hổng có thể khai thác trong bối cảnh cụ thể này
  • Lỗ hổng mang tính lý thuyết mà không có proof of concept hoạt động hoặc tác động được chứng minh
  • Vấn đề yêu cầu người dùng đã tự làm lộ/compromise thiết bị hoặc trình duyệt của họ

Bạn có thể mong đợi gì

Khi bạn gửi báo cáo lỗ hổng, đây là những gì bạn có thể mong đợi từ chúng tôi:

1

Xác nhận

Chúng tôi sẽ xác nhận đã nhận báo cáo của bạn trong vòng 3 ngày làm việc.

2

Điều tra

Chúng tôi sẽ điều tra báo cáo và đánh giá tính hợp lệ cũng như mức độ nghiêm trọng. Chúng tôi có thể liên hệ để hỏi thêm nếu cần.

3

Khắc phục

Với các lỗ hổng được xác nhận, chúng tôi sẽ ưu tiên khắc phục sớm nhất có thể theo mức độ nghiêm trọng và sẽ cập nhật tiến độ cho bạn.

4

Công bố

Sau khi vấn đề được khắc phục, chúng tôi sẵn sàng phối hợp công bố công khai với bạn nếu bạn muốn. Vui lòng cho chúng tôi một khoảng thời gian khắc phục hợp lý trước khi đăng tải chi tiết.

Cam kết của chúng tôi

Khi bạn báo cáo lỗ hổng một cách thiện chí và tuân theo chính sách này, chúng tôi cam kết:

  • Không tiến hành hành động pháp lý đối với bạn liên quan đến nghiên cứu của bạn
  • Giữ báo cáo của bạn ở chế độ bảo mật và không chia sẻ thông tin cá nhân của bạn khi chưa có sự đồng ý
  • Cập nhật cho bạn về trạng thái của vấn đề
  • Ghi nhận đóng góp của bạn nếu bạn muốn và nếu vấn đề được xác nhận
  • Nỗ lực khắc phục các lỗ hổng đã xác nhận kịp thời

Đổi lại, chúng tôi đề nghị bạn không truy cập, sửa đổi hoặc xóa dữ liệu không thuộc về bạn; không làm gián đoạn tính sẵn sàng của website; và không thử nghiệm trên tài khoản hoặc dữ liệu của người dùng khác.

Liên hệ

Với các câu hỏi chung về chính sách này (không phải báo cáo lỗ hổng), hãy dùng trang liên hệ. Với báo cáo lỗi không liên quan đến bảo mật, hãy dùng trang báo cáo sự cố.