Πρόγραμμα αποκάλυψης ευπάθειας

Το LiveAgent στοχεύει να διατηρήσει την υπηρεσία του ασφαλή για όλους και η ασφάλεια δεδομένων είναι ύψιστης σημασίας. Το Πρόγραμμα Aποκάλυψης Eυπάθειας έχει ως στόχο να ελαχιστοποιήσει τον αντίκτυπο τυχόν ελαττωμάτων ασφαλείας στα εργαλεία μας ή στους χρήστες τους. Το Πρόγραμμα Αποκάλυψης Ευπάθειας του LiveAgent καλύπτει λογισμικό μερικώς ή κυρίως γραμμένο από την Quality Unit.

Εάν είστε ερευνητής ασφάλειας και έχετε ανακαλύψει ένα θέμα ευπάθειας ασφαλείας στην Υπηρεσία, εκτιμούμε τη βοήθειά σας για την αποκάλυψή του σε εμάς ιδιωτικά και να μας δώσετε την ευκαιρία να το διορθώσουμε πριν δημοσιεύσουμε τεχνικές λεπτομέρειες.

Το LiveAgent θα συνεργαστεί με ερευνητές ασφαλείας όταν μας αναφέρονται ευπάθειες όπως περιγράφεται εδώ. Θα επικυρώσουμε, θα ανταποκριθούμε και θα διορθώσουμε τα τρωτά σημεία προς υποστήριξη της δέσμευσής μας για ασφάλεια και απόρρητο. Δεν θα αναλάβουμε νομική δράση εναντίον, ούτε θα ανασταλεί και τερματιστεί η πρόσβαση στην Υπηρεσία όσων ανακαλύπτουν και αναφέρουν ευπάθειες ασφαλείας με υπευθυνότητα. Το LiveAgent διατηρεί όλα τα νόμιμα δικαιώματά του σε περίπτωση μη συμμόρφωσης.

Αναφορές

Μοιραστείτε τις λεπτομέρειες τυχόν ύποπτων τρωτών σημείων με την Ομάδα Ανάπτυξης του LiveAgent στη διεύθυνση support@liveagent.com. Μην αποκαλύπτετε δημόσια αυτές τις λεπτομέρειες εκτός αυτής της διαδικασίας χωρίς ρητή άδεια. Κατά την αναφορά τυχόν υποψιών ευπάθειας, συμπεριλάβετε όσο το δυνατόν περισσότερες πληροφορίες. Εάν θέλετε να υποβάλετε πολλές αναφορές ταυτόχρονα, παρακαλούμε υποβάλετε μόνο μία αναφορά (την πιο σημαντική, εάν είναι δυνατόν) και περιμένετε μια απάντηση.

Αποζημίωση

Είμαστε στην ευχάριστη θέση να προσφέρουμε μια επιβράβευση για πληροφορίες σχετικά με την ευπάθεια που μας βοηθά να προστατεύσουμε τους πελάτες μας, χάρη στους ερευνητές ασφαλείας που επιλέγουν να συμμετάσχουν στο πρόγραμμα bug bounty. Η κανονική επιβράβευση των χρημάτων είναι 50$ ανά ευπάθεια που υποβάλλεται και επαληθεύεται από την ομάδα ανάπτυξης.

Θα ανταμείψουμε μόνο τον πρώτο αναφέροντα μιας ευπάθειας. Οι διπλές αναφορές δεν θα ανταμειφθούν.

Πεδίο εφαρμογής

Μπορείτε να πραγματοποιήσετε δοκιμές μόνο σε έναν λογαριασμό LiveAgent για τον οποίο είστε ο κάτοχος λογαριασμού ή ένας αντιπρόσωπος εξουσιοδοτημένος από τον κάτοχο του λογαριασμού για τη διεξαγωγή τέτοιων δοκιμών. Για παράδειγμα:

  • *yourdomain*.ladesk.com

Θα σας ανταμείψουμε για τους ακόλουθους τύπους ευπάθειας:

  • Εκτέλεση Απομακρυσμένης Εντολής (RCE)
  • SQL Injection
  • Σπασμένος Έλεγχος Ταυτότητας
  • Σπασμένη Διαχείριση Συνόδου
  • Παράκαμψη Ελέγχου Πρόσβασης
  • Cross-Site Scripting (XSS)
  • Συγχώνευση Αιτήσεων Μεταξύ Ιστότοπων (CSRF)
  • Άνοιγμα Ανακατεύθυνσης URL
  • Διαδρομή Καταλόγου

Οι αναφορές για το πότε ένας εισβολέας μπορεί να απειλήσει μόνο τον λογαριασμό του με τον ρόλο Διαχειριστή δεν θα ανταμειφθεί με επιβράβευση. Το XSS που προκαλείται από έναν Διαχειριστή δεν θα ανταμειφθεί με μια επιβράβευση.

Προκειμένου να πληροί τις προϋποθέσεις, η ευπάθεια πρέπει να υπάρχει στην τελευταία δημόσια έκδοση (συμπεριλαμβανομένων των επίσημων δημόσιων beta που κυκλοφόρησαν) του λογισμικού. Μόνο οι ευπάθειες ασφαλείας θα πληρούν τις προϋποθέσεις. Θα μας άρεσε πολύ αν οι άνθρωποι ανέφεραν άλλα σφάλματα μέσω των κατάλληλων καναλιών, αλλά επειδή ο σκοπός αυτού του προγράμματος είναι να διορθώσει τις ευπάθειες ασφαλείας, μόνο σφάλματα που οδηγούν σε ευπάθειες ασφαλείας θα είναι επιλέξιμα για ανταμοιβές. Άλλα σφάλματα θα γίνονται αποδεκτά κατά την κρίση μας.

Οδηγίες

Ακολουθήστε τις παρακάτω οδηγίες για να πληροίτε τις προϋποθέσεις για ανταμοιβή βάσει αυτού του προγράμματος αποκάλυψης:

  • Μην τροποποιείτε ή διαγράφετε μόνιμα τα φιλοξενούμενα δεδομένα του LiveAgent.
  • Μην χρησιμοποιείτε σκόπιμα μη δημόσια δεδομένα LiveAgent περισσότερο από ό,τι είναι απαραίτητο για να δείξετε την ευπάθεια.
  • Μην κάνετε DDoS ή αλλιώς αναστατώνετε, διακόπτετε ή υποβαθμίζετε τις εσωτερικές ή εξωτερικές υπηρεσίες μας.
  • Μην κοινοποιείτε εμπιστευτικές πληροφορίες που λαμβάνονται από το LiveAgent, συμπεριλαμβανομένων, ενδεικτικά, πληροφοριών πληρωμής μέλους ή δωρεές, με τρίτους.
  • Η κοινωνική μηχανική είναι εκτός πεδίου. Μην στέλνετε email “ψαρέματος” ή χρησιμοποιείτε άλλες τεχνικές κοινωνικής μηχανικής εναντίον οποιουδήποτε ατόμου, συμπεριλαμβανομένου του προσωπικού, των μελών, των προμηθευτών ή των συνεργατών της QualityUnit

Επιπλέον, αφήστε μας τουλάχιστον 90 ημέρες για να διορθώσουμε την ευπάθεια πριν συζητήσουμε δημόσια ή δημοσιεύσουμε ιστολόγια σχετικά με αυτό. Η ομάδα μας πιστεύει ότι οι ερευνητές ασφαλείας έχουν το δικαίωμα να αναφέρουν την έρευνά τους και ότι η αποκάλυψη είναι εξαιρετικά επωφελής και κατανοεί ότι είναι ένα πολύ υποκειμενικό ερώτημα για το πότε και πώς να κρατήσουμε τις λεπτομέρειες για να μετριάσουμε τον κίνδυνο κατάχρησης των πληροφοριών σχετικά με την ευπάθεια. Εάν πιστεύετε ότι η προηγούμενη αποκάλυψη είναι απαραίτητη, ενημερώστε μας για να ξεκινήσουμε μια συνομιλία.

Αρχείο καταγραφής αλλαγών

Ενημερώνουμε δημόσια για όλα τα σταθερά ζητήματα ασφαλείας μέσω του αρχείου καταγραφής αλλαγών. Ζητήματα που σχετίζονται με την ασφάλεια επισημαίνονται με ετικέτα [Ασφάλεια].

Σχετικοί Πόροι

Ο ιστότοπός μας χρησιμοποιεί cookies. Συνεχίζοντας ΄μας δίνετε την άδειά σας να χρησιμοποιούμε cookies όπως περιγράφεται από πολιτική απορήττου και cookies.