Πρόγραμμα αποκάλυψης ευπάθειας

Το LiveAgent στοχεύει να διατηρήσει την υπηρεσία του ασφαλή για όλους και η ασφάλεια δεδομένων είναι ύψιστης σημασίας. Το Πρόγραμμα Aποκάλυψης Eυπάθειας έχει ως στόχο να ελαχιστοποιήσει τον αντίκτυπο τυχόν ελαττωμάτων ασφαλείας στα εργαλεία μας ή στους χρήστες τους. Το Πρόγραμμα Αποκάλυψης Ευπάθειας του LiveAgent καλύπτει λογισμικό μερικώς ή κυρίως γραμμένο από την Quality Unit.

Εάν είστε ερευνητής ασφάλειας και έχετε ανακαλύψει ένα θέμα ευπάθειας ασφαλείας στην Υπηρεσία, εκτιμούμε τη βοήθειά σας για την αποκάλυψή του σε εμάς ιδιωτικά και να μας δώσετε την ευκαιρία να το διορθώσουμε πριν δημοσιεύσουμε τεχνικές λεπτομέρειες.

Το LiveAgent θα συνεργαστεί με ερευνητές ασφαλείας όταν μας αναφέρονται ευπάθειες όπως περιγράφεται εδώ. Θα επικυρώσουμε, θα ανταποκριθούμε και θα διορθώσουμε τα τρωτά σημεία προς υποστήριξη της δέσμευσής μας για ασφάλεια και απόρρητο. Δεν θα αναλάβουμε νομική δράση εναντίον, ούτε θα ανασταλεί και τερματιστεί η πρόσβαση στην Υπηρεσία όσων ανακαλύπτουν και αναφέρουν ευπάθειες ασφαλείας με υπευθυνότητα. Το LiveAgent διατηρεί όλα τα νόμιμα δικαιώματά του σε περίπτωση μη συμμόρφωσης.

Αναφορές

Μοιραστείτε τις λεπτομέρειες τυχόν ύποπτων τρωτών σημείων με την Ομάδα Ανάπτυξης του LiveAgent στη διεύθυνση support@liveagent.com. Μην αποκαλύπτετε δημόσια αυτές τις λεπτομέρειες εκτός αυτής της διαδικασίας χωρίς ρητή άδεια. Κατά την αναφορά τυχόν υποψιών ευπάθειας, συμπεριλάβετε όσο το δυνατόν περισσότερες πληροφορίες. Εάν θέλετε να υποβάλετε πολλές αναφορές ταυτόχρονα, παρακαλούμε υποβάλετε μόνο μία αναφορά (την πιο σημαντική, εάν είναι δυνατόν) και περιμένετε μια απάντηση.

Αποζημίωση

Είμαστε στην ευχάριστη θέση να προσφέρουμε μια επιβράβευση για πληροφορίες σχετικά με την ευπάθεια που μας βοηθά να προστατεύσουμε τους πελάτες μας, χάρη στους ερευνητές ασφαλείας που επιλέγουν να συμμετάσχουν στο πρόγραμμα bug bounty. Η κανονική επιβράβευση των χρημάτων είναι 100$ ανά ευπάθεια που υποβάλλεται και επαληθεύεται από την ομάδα ανάπτυξης.

Θα ανταμείψουμε μόνο τον πρώτο αναφέροντα μιας ευπάθειας. Οι διπλές αναφορές δεν θα ανταμειφθούν.

Πεδίο εφαρμογής

Μπορείτε να πραγματοποιήσετε δοκιμές μόνο σε έναν λογαριασμό LiveAgent για τον οποίο είστε ο κάτοχος λογαριασμού ή ένας αντιπρόσωπος εξουσιοδοτημένος από τον κάτοχο του λογαριασμού για τη διεξαγωγή τέτοιων δοκιμών. Για παράδειγμα:

  • *yourdomain*.ladesk.com

Θα σας ανταμείψουμε για τους ακόλουθους τύπους ευπάθειας:

  • Εκτέλεση απομακρυσμένης εντολής (RCE)
  • SQL Injection
  • Χαλασμένος έλεγχος ταυτότητας
  • Χαλασμένη διαχείριση συνεδρίας
  • Παράκαμψη ελέγχου πρόσβασης
  • Cross-Site Scripting (XSS)
  • Cross-Site Request Forgery (CSRF)
  • Ανοιχτή ανακατεύθυνση URL
  • Διέλευση Καταλόγου

Οι αναφορές για το πότε ένας εισβολέας μπορεί να απειλήσει μόνο τον λογαριασμό του με τον ρόλο Διαχειριστή δεν θα ανταμειφθεί με επιβράβευση. Το XSS που προκαλείται από έναν Διαχειριστή δεν θα ανταμειφθεί με μια επιβράβευση.

Προκειμένου να πληροί τις προϋποθέσεις, η ευπάθεια πρέπει να υπάρχει στην τελευταία δημόσια έκδοση (συμπεριλαμβανομένων των επίσημων δημόσιων beta που κυκλοφόρησαν) του λογισμικού. Μόνο οι ευπάθειες ασφαλείας θα πληρούν τις προϋποθέσεις. Θα μας άρεσε πολύ αν οι άνθρωποι ανέφεραν άλλα σφάλματα μέσω των κατάλληλων καναλιών, αλλά επειδή ο σκοπός αυτού του προγράμματος είναι να διορθώσει τις ευπάθειες ασφαλείας, μόνο σφάλματα που οδηγούν σε ευπάθειες ασφαλείας θα είναι επιλέξιμα για ανταμοιβές. Άλλα σφάλματα θα γίνονται αποδεκτά κατά την κρίση μας.

Οδηγίες

Ακολουθήστε τις παρακάτω οδηγίες για να πληροίτε τις προϋποθέσεις για ανταμοιβή βάσει αυτού του προγράμματος αποκάλυψης:

  • Μην τροποποιείτε ή διαγράφετε μόνιμα δεδομένα που φιλοξενούνται στο LiveAgent.
  • Μην αποκτάτε σκόπιμα πρόσβαση σε μη δημόσια δεδομένα LiveAgent περισσότερο από όσο είναι απαραίτητο για να αποδείξετε την ευπάθεια.
  • Μην κάνετε DDoS ή με άλλο τρόπο διαταράσσετε, διακόπτετε ή υποβαθμίζετε τις εσωτερικές ή εξωτερικές υπηρεσίες μας.
  • Μην κοινοποιείτε εμπιστευτικές πληροφορίες που λαμβάνονται από το LiveAgent, συμπεριλαμβανομένων, ενδεικτικά, των πληροφοριών πληρωμής μελών ή χορηγών, με οποιοδήποτε τρίτο μέρος.
  • Η κοινωνική μηχανική είναι εκτός πεδίου εφαρμογής. Μην στέλνετε phishing email και μην χρησιμοποιείτε άλλες τεχνικές κοινωνικής μηχανικής εναντίον οποιουδήποτε, συμπεριλαμβανομένων του προσωπικού της QualityUnit, των μελών, των προμηθευτών ή των συνεργατών.

Επιπλέον, αφήστε μας τουλάχιστον 90 ημέρες για να διορθώσουμε την ευπάθεια πριν συζητήσουμε δημόσια ή δημοσιεύσουμε ιστολόγια σχετικά με αυτό. Η ομάδα μας πιστεύει ότι οι ερευνητές ασφαλείας έχουν το δικαίωμα να αναφέρουν την έρευνά τους και ότι η αποκάλυψη είναι εξαιρετικά επωφελής και κατανοεί ότι είναι ένα πολύ υποκειμενικό ερώτημα για το πότε και πώς να κρατήσουμε τις λεπτομέρειες για να μετριάσουμε τον κίνδυνο κατάχρησης των πληροφοριών σχετικά με την ευπάθεια. Εάν πιστεύετε ότι η προηγούμενη αποκάλυψη είναι απαραίτητη, ενημερώστε μας για να ξεκινήσουμε μια συνομιλία.

Αρχείο καταγραφής αλλαγών

Ενημερώνουμε δημόσια για όλα τα σταθερά ζητήματα ασφαλείας μέσω του αρχείου καταγραφής αλλαγών. Ζητήματα που σχετίζονται με την ασφάλεια επισημαίνονται με ετικέτα [Ασφάλεια].

Σχετικά Άρθρα
Η ασφάλεια δεδομένων είναι μία από τις πρώτες μας προτεραιότητες και θέλουμε να μάθουμε για τα σημεία ευπάθειας μας. Εάν είστε ερευνητής, θα εκτιμήσουμε και θα ανταμείψουμε τη βοήθειά σας.

Πρόγραμμα Bug Bounty του LiveAgent

Η ασφάλεια δεδομένων είναι μία από τις πρώτες μας προτεραιότητες και θέλουμε να μάθουμε για τα σημεία ευπάθειας μας. Εάν είστε ερευνητής, θα εκτιμήσουμε και θα ανταμείψουμε τη βοήθειά σας.

Ο ιστότοπός μας χρησιμοποιεί cookies. Συνεχίζοντας ΄μας δίνετε την άδειά σας να χρησιμοποιούμε cookies όπως περιγράφεται από πολιτική απορήττου και cookies.

Start Free Trial x