Programa de Divulgação de Vulnerabilidade

O principal objetivo do LiveAgent, é manter o seu serviço e dados seguros para todos. Nosso Programa de Divulgação de Vulnerabilidade tem o objetivo de minimizar o impacto de qualquer falha de segurança, em nossas ferramentas ou nos usuários. O Programa de Divulgação de Vulnerabilidade do LiveAgent cobre o software escrito parcialmente ou primariamente pelo Quality Unit.

Se você é um pesquisador de segurança e descobriu uma vulnerabilidade de segurança em nosso Serviço, nós apreciamos sua ajuda ao divulgar para nós privadamente, nos dando uma oportunidade de consertar o erro, antes de publicar os detalhes técnicos do mesmo.

O LiveAgent se compromete com os pesquisadores de segurança quando as vulnerabilidades são encontradas e reportadas para nós como descrito aqui. Nós vamos validar, responder e consertar as vulnerabilidades, em apoio ao nosso compromisso com a segurança e privacidade. Nós não iremos tomar nenhuma ação ou medida legal para encerrar ou suspender o serviço contra quem descobrir e relatar, nossas vulnerabilidades de segurança de forma responsável. O LiveAgent reserva todos os seus direitos legais em caso de qualquer descumprimento do acordo.

Relatando

Compartilhe os detalhes de quaisquer suspeita de vulnerabilidade com o Time de Desenvolvimento do LiveAgent, no support@liveagent.com. Por favor, não publique os detalhes fora do processo, sem permissão explícita. Ao relatar quaisquer vulnerabilidades suspeitas, por favor inclua o máximo de informações possíveis. Se você deseja enviar vários relatórios de uma só vez, por favor envie um único relatório, (apenas o mais importante, se possível) e espere por uma resposta.

Compensação

Nós temos o prazer de oferecer uma recompensa para as informações sobre as vulnerabilidades que nos ajudam a proteger nossos clientes, como forma de agradecimento aos pesquisadores de segurança que escolheram participar do nosso programa de caça aos bugs. O prêmio padrão é de $50 por bug enviado e verificado pelo nosso time de desenvolvimento.

Nós vamos apenas recompensar o primeiro relato da vulnerabilidade. Relatórios duplicados não serão recompensados.

Escopo

Você deve testar contra uma Conta do LiveAgent apenas se você for o Dono da Conta, ou um Agente autorizado pelo Dono da Conta para conduzir tal teste. Por exemplo:

  • *seudomínio*.ladesk.com

Nós te recompensaremos para os seguintes tipos de vulnerabilidades

  • Remote Command Execution (RCE)
  • SQL Injection
  • Broken Authentication
  • Broken Session Management
  • Access Control Bypass
  • Cross-Site Scripting (XSS)
  • Cross-Site Request Forgery (CSRF)
  • Open URL Redirection
  • Directory Traversal

Relatórios de quando um atacante pode ameaçar apenas sua própria conta com o papel de Admin, não será recompensado com o prêmio. XSS causado pelo Admin nõ será recompensando com o prêmio.

Para a vulnerabilidade ser qualificada, a mesma deve estar presente no último release público (incluindo release oficial ou beta público) do software. Apenas vulnerabilidades de segurança se qualificarão. Nós iremos amar se outras pessoas reportarem outros tipos de bugs, através dos canais apropriados, mas como o propósito desse programa é de consertar as vulnerabilidades de segurança, apenas bugs que levem a uma vulnerabilidade de segurança será elegível para a recompensa. Outros bugs serão aceitos de acordo com nosso critério.

Guidelines

Por favor siga o seguinte guideline, para tornar-se elegível para a recompensa nesse programa de divulgação:

  • Não modifique ou delete permanentemente os dados hospedados pelo LiveAgent.
  • Não acesse intencionalmente dados não públicos do LiveAgent, a não ser que seja necessário para demonstrar a vulnerabilidade.
  • Não faça DDoS ou interrompa, prejudique nossos serviços internos ou externos.
  • Não compartilhe informações confidenciais obtidas do LiveAgent, incluindo mas não limitado a informações de pagamento de membros ou doadores, com terceiros envolvidos.
  • Engenharia social está fora do escopo. Não envie emails com phishing, ou use outras técnicas de engenharia social contra ninguém, incluindo a equipe, membros, vendedores ou parceiros do QualityUnity.

Além disso, por favor espere ao menos 90 dias para consertarmos a vulnerabilidade, antes de você publicar, discutir ou blogar sobre a mesma. Nosso time acredita que os pesquisadores de segurança têm o direito de publicar seu relatório e que a divulgação do mesmo, é altamente benéfica em questão de como mitigar os ricos e que essas informações serão usadas para o bem. Se você acredita que uma divulgação antecipada é necessária, por favor entre em contato conosco, para que possamos discutir a respeito.

Change log

Nós informamos publicamente todos nossos problemas consertados, através do nosso change log. Problemas relacionados com segurança, são marcados pela tag [Security].

Our website uses cookies. By continuing we assume your permission to deploy cookies as detailed in our privacy and cookies policy.