<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html lang="en"> <head> <title>Zalo Security</title> <meta charset="utf-8"/> <meta http-equiv="X-UA-Compatible" content="IE=edge,chrome=1"/> <meta http-equiv="pragma" content="no-cache" /> <meta http-equiv="cache-control" content="no-cache" /> <meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> <meta name="viewport" content="width=device-width, initial-scale=1, maximum-scale=1, user-scalable=0" /> <meta name="format-detection" content="telephone=no" /> <meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> <meta property="og:image" content="https://stc-zaloprofile.zdn.vn/pc/v1/images/zalo_sharelogo.png"/> <meta name="description" content="Tải Zalo PC cho máy tính để sử dụng các tính năng vượt trội như gửi file 1GB, Chụp màn hình, Phân loại nhóm,... Download Zalo trên các nền tảng Windows, Mac OS"/> <meta name="keywords" content="zalo pc, tai zalo, tai zalo pc, zalo may tinh, download zalo, tai zalo mien phi, zalo cho pc" /> <link type="image/x-icon" href="https://stc-zaloprofile.zdn.vn/favicon.ico" rel="shortcut icon" /> <link href="https://stc-zaloprofile.zdn.vn/pc/v1/css/layout.css" rel="stylesheet" type="text/css" /> <link href="https://stc-zaloprofile.zdn.vn/pc/v1/css/custom.css" rel="stylesheet" type="text/css" /> <script src="https://stc-zaloprofile.zdn.vn/pc/v1/js/jquery.min.js"></script> <script src="https://stc-zaloprofile.zdn.vn/pc/v1/js/pgwbrowser.min.js"></script> <script src="https://stc-sp.zadn.vn/session-sdk/session-sdk.min.js"></script> <link href="https://stc-zaloprofile.zdn.vn/security/css/style.css" rel="stylesheet" /> </head> <body class="has-bg"> <div class="scroll-to-top"></div> <div canvas="container"> <div class="wrapper"> <div class="zalo-layout"> <section class="header"> <a class="logo-container" title="zalo" href="/pc" style="z-index: 1000;left: 3%"><img alt="Zalo" src="https://stc-zaloprofile.zdn.vn/pc/v1/images/logo.svg"></a> <div class="header-container" style="padding-left: 0px;padding-right: 0px;"> <div id="menu-containerId" class="menu-container"> <ul> <li><a class="" title="Zalo PC, Cài đặt Zalo, Zalo cho máy tính, Download Zalo, tải zalo về máy tính" href="/pc?source=mainsitetopnav">Zalo PC</a></li> <li><a title="Zalo OA, Zalo page dành cho doanh nghiệp, tổ chức quảng bá và quảng cáo bán sản phẩm" target="_blank" href="https://oa.zalo.me">Official Account</a></li> <li><a title="Dành cho developer, api zalo" target="_blank" href="https://developers.zalo.me">Nhà Phát Triển</a></li> <li><a class="active" title="Bảo mật" href="/security.html">Bảo mật</a></li> <li><a class="" title="Hỏi đáp về Zalo" target="_blank" href="https://zalo.me/help/?utm_source=linking&utm_medium=nav_home">Trợ giúp</a></li> <li><a class="" title="Liên hệ và tìm hỗ trợ từ zalo" target="_blank" href="https://help.zalo.me/lien-he">Liên hệ</a></li> <li><a class="" title="Báo cáo vi phạm" href="/legal.html">Báo cáo vi phạm</a></li> <li><a class="btnLogin" title="Zalo - Nhắn gửi Yêu Thương (Windows/iOS/Android)">Đăng nhập</a></li> </ul> </div> <div class="func-header"> <div class="my-apps"> <div class="item dropdown"> </div> </div> </div> </div> </section> <section class="body has-bg"> <div class="body-container"> <div class="module-page container"> <div class="policy"> <div class="policy__header"> <img class="policy__header__banner" src="https://stc-zaloprofile.zdn.vn/security/img/impression-header.png" alt=""> <h3 class="policy__header__title"> <span class="policy__header__title--columm">Zalo Security</span> </h3> </div> <h2 class="policy__header-title">Chương trình tìm kiếm lỗ hổng bảo mật</h2> <p class="pragraph"> Là nền tảng OTT hàng đầu ở Việt Nam, chúng tôi xem xét vấn đề bảo mật các sản phẩm và dịch vụ của mình một cách rất nghiêm túc. Để cung cấp các sản phẩm an toàn với người dùng, chúng tôi tin rằng việc hợp tác với các nhà nghiên cứu bảo mật trong nước và trên thế giới là quan trọng. Vì thế, chúng tôi đánh giá rất cao việc cộng đồng bảo mật báo cáo các lỗ hổng. Nếu bạn đã tìm thấy lỗ hổng bảo mật của các sản phẩm thuộc Zalo Group, vui lòng cho chúng tôi biết ngay qua email: <a class="email" href="mailto:security@zalo.me">security@zalo.me</a>. Đối với những lỗ hổng nghiêm trọng hợp lệ đã được khắc phục, chúng tôi sẽ ghi nhận thông qua Hall of Fame và có phần quà cho những nhà nghiên cứu bảo mật đầu tiên gửi báo cáo. </p> <h2 class="policy__header-title">Phạm vi</h2> <p class="pragraph"> Phạm vi các lỗ hổng bảo mật đủ điều kiện nằm trong sản phẩm hoặc trên website của Zalo Group. </p> <h2 class="policy__header-title">Thông tin yêu cầu </h2> <p class="pragraph"> Vui lòng gửi cho chúng tôi báo cáo bao gồm các thông tin sau: </p> <ul class="policy__list policy__list--number"> <li>Sản phẩm/Phiên bản/URLs bị ảnh hưởng</li> <li>Thông tin về môi trường thử nghiệm (Hệ điều hành...)</li> <li>Mô tả kĩ thuật và các bước thực hiện</li> <li>POC có thể tận dụng khai thác</li> <li>Impact của lỗ hổng</li> </ul> <p class="pragraph">Chúng tôi chỉ chấp nhận các báo cáo có chứa bằng chứng đầy đủ, bản mô tả về cách thức khai thác và mức độ ảnh hưởng đến các dịch vụ của Zalo Group.</p> <h2 class="policy__header-title">Ngoài phạm vi</h2> <p class="pragraph"> Khi báo cáo các lỗ hổng, xin vui lòng xem xét kịch bản tấn công/khả năng khai thác và tác động bảo mật của lỗi. Các vấn đề sau được xem xét ngoài phạm vi: </p> <ul class="policy__list"> <li>Các lỗ hổng giả thuyết hoặc lý thuyết mà không có xác minh thực tế</li> <li>Self XSS</li> <li>Clickjacking, Tabjacking, Tabnabbing trên các trang không có hành động nhạy cảm</li> <li>Tấn công từ chối dịch vụ (DOS)</li> <li>Tấn công yêu cầu quyền truy cập vật lý vào thiết bị của người dùng hoặc sử dụng thiết bị đã root</li> <li>Khả năng spam người dùng Zalo tùy ý bằng tin nhắn rác</li> <li>Các lỗ hổng trên thư viện được biết đến trước đây mà không có bằng chứng (POC) hoạt động</li> <li>Tiết lộ thông tin về đường dẫn, công nghệ sử dụng, phiên bản, API Key... mà không có chứng minh ảnh hưởng (Impact)</li> <li>Thiếu các bằng chứng thực tế trong cấu hình SSL / TLS hay các header bảo mật</li> <li>Báo cáo từ các công cụ quét tự động mà không chứng minh được mối đe dọa bảo mật hợp lệ </li> <li>Các vấn đề về giả mạo nội dung và text injection</li> <li>Các vấn đề về tấn công Social Engineering</li> <li>Các vấn đề về Email Best Practices (Email Spoofing, SPF/DKIM/DMARC, records không hợp lệ, thiếu hoặc không đầy đủ, etc.)</li> <li>Tấn công brute force với impact thấp</li> <li>Các chính sách quản lý tài khoản (độ phức tạp của mật khẩu,...)</li> <li>Bypass phần mềm độc hại URL</li> <li>Các lỗ hổng ảnh hưởng đến các trình duyệt và nền tảng lỗi thời hoặc chưa được vá</li> <li>Các dịch vụ được lưu trữ bên ngoài được sử dụng bởi Zalo Group</li> <li>Các lỗ hổng zero-day được công bố gần đây trong các sản phẩm thương mại không có bản vá hoặc mới có bản vá gần đây ( < 2 tuần). Chúng tôi cần thời gian để vá các hệ thống của chúng tôi giống như mọi sản phẩm khác - vui lòng cho chúng tôi 2 tuần trước khi báo cáo các loại vấn đề này.</li> </ul> <h2 class="policy__header-title">Hall of Fame </h2> <p class="pragraph"> Chúng tôi rất cảm ơn các nhà nghiên cứu bảo mật và các công ty sau đây đã làm việc với chúng tôi trong việc tìm kiếm, hỗ trợ để giữ cho các sản phẩm của Zalo Group an toàn: </p> <p class="pragraph mb-0 ml-3">2024</p> <ul class="policy__list"> <li>Lê Anh Trường (fb.com/lleanhtruong)</li> <li>Dat Pham</li> </ul> <p class="pragraph mb-0 ml-3">2022</p> <ul class="policy__list"> <li>Viettel Cyber Security</li> <li>Võ Văn Minh (fb.com/minhgalaxy)</li> <li>Dat Pham</li> <li>sovietw0rm</li> <li>chung96vn</li> </ul> <p class="pragraph mb-0 ml-3">2021</p> <ul class="policy__list"> <li>VinCSS Team (vincss.net)</li> </ul> <p class="pragraph mb-0 ml-3">2020</p> <ul class="policy__list"> <li>Team7 of CyberJutsu (cyberjutsu.io)</li> <li>ThreatSpike Labs</li> <li>Dat Pham (fb.com/datpham.overflow)</li> <li>ThichMauTim</li> </ul> </div> </div> </div> </section> <section class="footer"> <div class="footer-container"> <div class="container-fluid"> <div class="row"> <div class="col-lg-12"> <p class="cpr">© 2012 - 2025 Một sản phẩm của Zalo Group - <a target="_blank" href="https://zalo.vn/dieukhoan">Điều khoản sử dụng dịch vụ</a> - <a target="_blank" href="https://zalo.me/policy/thongbaoxulydulieu">Thông báo xử lý dữ liệu</a></p> </div> </div> </div> </div> </section> </div> </div> </div> <script src="https://stc-zaloprofile.zdn.vn/pc/v1/js/tether.min.js"></script> <script src="https://stc-zaloprofile.zdn.vn/pc/v1/js/bootstrap.min.js"></script> <script src="https://stc-zaloprofile.zdn.vn/pc/v1/js/swiper.min.js"></script> <script src="https://stc-zaloprofile.zdn.vn/pc/v1/js/main.js"></script> <script src="https://stc-zaloprofile.zdn.vn/pc/v1/js/conversion.js" type="text/javascript"></script> <script> window.loginUrl = "https://id.zalo.me/account/login?continue="; (function (i, s, o, g, r, a, m) { i['GoogleAnalyticsObject'] = r; i[r] = i[r] || function () { (i[r].q = i[r].q || []).push(arguments) }, i[r].l = 1 * new Date(); a = s.createElement(o), m = s.getElementsByTagName(o)[0]; a.async = 1; a.src = g; m.parentNode.insertBefore(a, m) })(window, document, 'script', '//www.google-analytics.com/analytics.js', 'ga'); ga('create', 'UA-108352130-3', 'auto'); ga('create', 'UA-64231411-4', 'auto', 'distTracker'); ga('send', 'pageview'); </script> <script> var _zap = _zap || []; _zap.push(["_setAccount", "ZA-43324518321713"]); </script> <script src="https://za.zdn.vn/v3/za.js"></script> <!-- Cookie consent --> <div id="cookie_popup" style="display:none;background:white;width:25%;position:fixed;left:10px;bottom:20px;box-shadow:0px 0px 15px #cccccc;padding:12px 16px;border-radius:8px;max-width:1272px;margin-left:auto;margin-right:auto;z-index:10;"> <h4 style="font-size:16px;padding-bottom:8px;">Chia sẻ cookie</h4> <p style="text-align:left;font-size:13px;color:#4e4e4e;">Trang web này sử dụng cookie để cung cấp cho bạn trải nghiệm duyệt web tốt hơn. Tìm hiểu thêm về cách <a href="https://zalo.vn/dieukhoan" target="_blank">chúng tôi sử dụng cookie và cách bạn có thể thay đổi cài đặt của mình</a>.</p> <div style="display:flex; flex-direction:row;-webkit-box-pack:end;justify-content:flex-end"> <button onclick="denyCookieConsent()" style="background: #0573ff;border-radius: 10px;padding: 6px 12px;min-width: 40%;margin: 6px;background-color: #fff ;color: #0573ff ;border: 1px solid #0573ff ;">Từ chối</button> <button onclick="acceptCookieConsent()" style="border: navajowhite;background: #0573ff;border-radius: 10px;color: white;padding: 6px 12px;min-width: 40%;margin: 6px;">Đồng ý</button> </div> </div> <script> if (typeof ZA !== 'undefined' && typeof ZA.needCookieConsent === 'function' && ZA.needCookieConsent()) { document.getElementById('cookie_popup').style.display = 'block'; } function denyCookieConsent() { typeof ZA !== 'undefined' && typeof ZA.handleCookieConsentDenied === 'function' && ZA.handleCookieConsentDenied(); document.getElementById('cookie_popup').style.display = 'none'; } function acceptCookieConsent() { typeof ZA !== 'undefined' && typeof ZA.handleCookieConsentGranted === 'function' && ZA.handleCookieConsentGranted(); document.getElementById('cookie_popup').style.display = 'none'; } </script> <!-- End of cookie consent --> </body> </html>