LiveAgent Bug Bounty program

Program pro odhalování zranitelností

Cílem společnosti LiveAgent je, aby její služby byly pro všechny bezpečné, a bezpečnost dat je pro ni nanejvýš důležitá. Náš program odhalování zranitelností má za cíl minimalizovat dopad případných bezpečnostních chyb na naše nástroje nebo jejich uživatele. Program odhalování zranitelností společnosti LiveAgent se vztahuje na software, který částečně nebo převážně napsala jednotka Quality Unit.

Pokud jste bezpečnostní výzkumník a objevili jste bezpečnostní chybu ve službě, oceníme vaši pomoc, když nám ji soukromě sdělíte a dáte nám příležitost ji opravit před zveřejněním technických podrobností.

Společnost LiveAgent bude spolupracovat s bezpečnostními výzkumníky, pokud nám budou nahlášeny zranitelnosti, jak je popsáno zde. Zranitelnosti budeme ověřovat, reagovat na ně a opravovat je, abychom podpořili náš závazek k bezpečnosti a ochraně soukromí. Nebudeme podnikat právní kroky proti těm, kteří zodpovědně objeví a nahlásí bezpečnostní zranitelnosti, pozastavíme nebo ukončíme přístup ke službě. Společnost LiveAgent si vyhrazuje veškerá svá zákonná práva v případě nedodržení požadavků.

Reporting

Sdílejte podrobnosti o všech podezřelých zranitelnostech s vývojovým týmem LiveAgent na adrese support@liveagent.com. Bez výslovného svolení tyto podrobnosti nezveřejňujte mimo tento proces. Při hlášení jakýchkoli podezřelých zranitelností uveďte co nejvíce informací. Pokud chcete odeslat více hlášení najednou, odešlete prosím pouze jedno hlášení (pokud možno to nejdůležitější) a vyčkejte na odpověď.

Kompenzece

Jsme rádi, že můžeme nabídnout odměnu za informace o zranitelnostech, které nám pomáhají chránit naše zákazníky, jako poděkování bezpečnostním výzkumníkům, kteří se rozhodnou zapojit do našeho programu odměn za chyby. Pravidelná odměna činí 50 USD za každou zranitelnost, která byla odeslána a ověřena naším vývojovým týmem.

Odměňujeme pouze prvního ohlašovatele zranitelnosti. Duplikující se reporty nebudou odměněny.

Rozsah

Testovat můžete pouze na účtu LiveAgent, jehož jste majitelem nebo zástupcem, který je majitelem účtu k provádění takového testování oprávněn. Například:

• *yourdomain*.ladesk.com

Odměníme vás za následující typy zranitelností:

• Vzdálené spuštění příkazu (RCE)
• SQL Injection
• Porušené ověřování
• Správa přerušených relací
• Obcházení kontroly přístupu
• Cross-Site Scripting (XSS)
• Zfalšování požadavku na zkřížené stránky (CSRF)
• Otevřené přesměrování URL
• Procházení adresářů

Hlášení, kdy útočník může ohrozit pouze svůj vlastní účet s rolí správce, nebudou odměněna odměnou. XSS způsobené administrátorem nebude odměněno odměnou.

Aby bylo možné zranitelnost kvalifikovat, musí existovat v poslední veřejné verzi (včetně oficiálně vydaných veřejných beta verzí) softwaru. Kvalifikaci splňují pouze bezpečnostní zranitelnosti. Byli bychom rádi, kdyby lidé příslušnými kanály hlásili i jiné chyby, ale vzhledem k tomu, že účelem tohoto programu je oprava bezpečnostních chyb, budou mít nárok na odměnu pouze chyby, které vedou k bezpečnostním chybám. Ostatní chyby budou přijaty podle našeho uvážení.

Pokyny

Abyste měli nárok na odměny v rámci tohoto programu zveřejňování informací, dodržujte prosím následující pokyny:

• Neupravujte ani neodstraňujte trvale data hostovaná v LiveAgentu.
• Nepřistupujte záměrně k neveřejným datům LiveAgentu více, než je nutné k prokázání zranitelnosti.
• Nenarušujte, nepřerušujte ani jinak nezhoršujte kvalitu našich interních ani externích služeb.
• Nesdílejte důvěrné informace získané od společnosti LiveAgent, mimo jiné včetně informací o platbách členů nebo dárců, s žádnou třetí stranou.
• Sociální inženýrství je mimo oblast působnosti. Neposílejte phishingové e-maily ani nepoužívejte jiné techniky sociálního inženýrství vůči nikomu, včetně zaměstnanců, členů, prodejců nebo partnerů QualityUnit.

Kromě toho nás prosím nechte alespoň 90 dní na opravu zranitelnosti, než o ní začnete veřejně diskutovat nebo psát na blogu. Náš tým je přesvědčen, že výzkumníci v oblasti zabezpečení mají právo informovat o svých výzkumech a že zveřejnění je velmi přínosné, a chápe, že je velmi subjektivní otázkou, kdy a jakým způsobem zadržet podrobnosti, aby se snížilo riziko zneužití informací o zranitelnosti. Pokud se domníváte, že je nutné zveřejnění dříve, dejte nám prosím vědět, abychom mohli zahájit rozhovor.

Protokol změn

O všech opravených bezpečnostních problémech veřejně informujeme prostřednictvím našich protokolů změn. Otázky týkající se bezpečnosti jsou označeny značkou [Bezpečnost].