Program ujawniania luk w zabezpieczeniach

Program ujawniania luk w zabezpieczeniachLiveAgent ma na celu zapewnienie bezpieczeństwa swoich usług dla wszystkich, a bezpieczeństwo danych jest sprawą najwyższej wagi. Celem naszego programu ujawniania luk w zabezpieczeniach jest zminimalizowanie wpływu jakichkolwiek luk w zabezpieczeniach na nasze narzędzia lub ich użytkowników. Program ujawniania luk w zabezpieczeniach LiveAgent obejmuje oprogramowanie, które zostało częściowo lub głównie napisane przez Dział Jakości.

Jeśli jesteś badaczem bezpieczeństwa i odkryłeś lukę w zabezpieczeniach usługi, będziemy wdzięczni za Twoją pomoc w ujawnieniu jej nam prywatnie i umożliwieniu nam naprawienia jej przed opublikowaniem szczegółów technicznych.

LiveAgent będzie współpracować z badaczami bezpieczeństwa, gdy zostaną nam zgłoszone luki w zabezpieczeniach, jak opisano tutaj. Będziemy sprawdzać, reagować i usuwać luki w zabezpieczeniach, aby wspierać nasze zaangażowanie w bezpieczeństwo i prywatność. Nie podejmiemy działań prawnych, nie zawiesimy ani nie zablokujemy dostępu do usługi osobom, które w sposób odpowiedzialny odkrywają i zgłaszają luki w zabezpieczeniach. LiveAgent zastrzega sobie wszystkie swoje prawa w przypadku jakichkolwiek niezgodności.

Raportowanie

Udostępnij szczegółowe informacje o wszelkich podejrzanych lukach zespołowi programistycznemu LiveAgent na adres support@liveagent.com. Prosimy nie ujawniać publicznie tych szczegółów poza tym procesem bez wyraźnej zgody. Zgłaszając wszelkie podejrzane luki, podaj jak najwięcej informacji. Jeśli chcesz przesłać wiele raportów naraz, prześlij tylko jeden raport (najważniejszy, jeśli to możliwe) i poczekaj na odpowiedź.

Wynagrodzenie

Z przyjemnością zaoferujemy nagrodę za informacje o lukach, które pomagają nam chronić naszych klientów, jako podziękowanie dla badaczy zabezpieczeń, którzy zdecydowali się uczestniczyć w naszym programie wykrywania błędów. Standardowa nagroda to 50 USD za każdą zgłoszoną i zweryfikowaną przez nasz zespół programistów lukę .

Nagrodzimy tylko pierwszego zgłaszającego lukę. Zduplikowane raporty nie zostaną nagrodzone.

Zakres

Możesz testować tylko na koncie LiveAgent, dla którego jesteś właścicielem konta lub agentem upoważnionym przez właściciela konta do przeprowadzania takich testów. Na przykład:

  • *yourdomain*.ladesk.com

Nagrodzimy Cię za następujące rodzaje luk:

  • Zdalne wykonywanie kodu (RCE)
  • Wstrzyknięcie kodu SQL
  • Uszkodzone uwierzytelnianie
  • Zarządzanie uszkodzonymi sesjami
  • Obejście kontroli dostępu
  • Skrypt między lokacjami (XSS)
  • Fałszerstwo żądania między lokacjami (CSRF)
  • Otwieranie przekierowań adresu URL
  • Directory Traversal

Zgłoszenia, w których osoba atakująca może zagrozić swojemu kontu tylko w roli administratora, nie zostaną nagrodzone. XSS spowodowane przez administratora nie zostanie nagrodzone.

Aby się zakwalifikować, luka musi istnieć w najnowszej publicznej wersji (w tym oficjalnie wydanych publicznych wersjach beta) oprogramowania. Kwalifikują się tylko luki w zabezpieczeniach. Chcielibyśmy, aby ludzie zgłaszali inne błędy za pośrednictwem odpowiednich kanałów, ale ponieważ celem tego programu jest naprawianie luk w zabezpieczeniach, tylko błędy prowadzące do luk w zabezpieczeniach będą kwalifikować się do nagrody. Inne błędy będą akceptowane według naszego uznania.

Wytyczne

Przestrzegaj następujących wytycznych, aby kwalifikować się do nagród w ramach tego programu informacyjnego:

  • Nie należy trwale modyfikować ani usuwać danych hostowanych przez LiveAgent.
  • Nie należy celowo uzyskiwać dostępu do niepublicznych danych LiveAgent w zakresie większym niż jest to konieczne do wykazania luki.
  • Nie należy atakować DDoS ani w inny sposób zakłócać, przerywać ani degradować naszych usług wewnętrznych lub zewnętrznych.
  • Nie udostępniaj informacji poufnych uzyskanych od LiveAgent, w tym między innymi informacji dotyczących płatności członków lub darczyńców, jakimkolwiek stronom trzecim.
  • Inżynieria społeczna jest poza zakresem. Nie wysyłaj wiadomości phishingowych do nikogo, w tym personelu, członków, dostawców lub partnerów QualityUnit, ani nie używaj innych technik inżynierii społecznej.

Ponadto prosimy o odczekanie co najmniej 90 dni na naprawienie tej luki przed publicznym omówieniem jej lub napisaniem na blogu. Nasz zespół uważa, że badacze bezpieczeństwa mają prawo do publikowania swoich badań i że ujawnienie informacji jest bardzo korzystne. Nasz zespół rozumie też, że jest to wysoce subiektywna kwestia tego, kiedy i jak ukrywać szczegóły, aby zmniejszyć ryzyko niewłaściwego wykorzystania informacji o lukach. Jeśli uważasz, że wcześniejsze ujawnienie informacji jest konieczne, daj nam znać, abyśmy mogli rozpocząć rozmowę.

Lista zmian

O wszystkich naprawionych problemach dotyczących bezpieczeństwa informujemy publicznie za pośrednictwem naszej listy zmian. Kwestie związane z bezpieczeństwem są oznaczone tagiem [Bezpieczeństwo].

Our website uses cookies. By continuing we assume your permission to deploy cookies as detailed in our privacy and cookies policy.