Teste Grátis

Programa de revelação de vulnerabilidade

O LiveAgent visa manter o seu serviço seguro para todos, sendo a segurança de dados de extrema importância para nós. Nosso Programa de Revelação de Vulnerabilidade tem o objetivo de minimizar o impacto de qualquer falha de segurança em nossas ferramentas ou nos seus usuários. O Programa de Revelação de Vulnerabilidade do LiveAgent cobre o software escrito parcialmente ou principalmente pela Quality Unit.

Se você é um pesquisador de segurança e descobriu uma vulnerabilidade de segurança em nosso Serviço, nós apreciamos sua ajuda ao divulgar para nós de forma privada, nos dando uma oportunidade de consertar o erro, antes de publicar os detalhes técnicos do mesmo.

O LiveAgent se envolverá com os pesquisadores de segurança quando as vulnerabilidades forem relatadas para nós como descrito aqui. Nós vamos validar, responder e consertar as vulnerabilidades, em apoio ao nosso compromisso com a segurança e privacidade. Nós não iremos tomar nenhuma ação ou medida legal para encerrar ou suspender o serviço contra quem descobrir e relatar nossas vulnerabilidades de segurança de forma responsável. O LiveAgent reserva todos os seus direitos legais em caso de qualquer descumprimento deste acordo.

Relatando

Compartilhe os detalhes de qualquer suspeita de vulnerabilidade com a Equipe de Desenvolvimento do LiveAgent, no support@liveagent.com. Por favor, não divulgue publicamente os detalhes fora deste processo, sem permissão explícita. Ao relatar quaisquer vulnerabilidades suspeitas, por favor inclua o máximo de informação possível. Se você deseja enviar vários relatórios de uma só vez, por favor envie um único relatório (apenas o mais importante, se possível) e espere por uma resposta.

Compensação

Nós temos o prazer de oferecer uma recompensa para as informações sobre as vulnerabilidades que nos ajudam a proteger nossos clientes, como forma de agradecimento aos pesquisadores de segurança que escolhem participar do nosso programa de caça aos bugs. O prêmio padrão é de 50 dólares por bug enviado e verificado pelo nosso time de desenvolvimento.

Nós vamos apenas recompensar o primeiro relato da vulnerabilidade. Relatórios duplicados não serão recompensados.

Escopo

Você deve testar contra uma Conta do LiveAgent apenas se você for o Dono da Conta, ou um Representante autorizado pelo Dono da Conta para conduzir tal teste. Por exemplo:

  • *seudomínio*.ladesk.com

Nós te recompensaremos para os seguintes tipos de vulnerabilidades:

  • Remote Command Execution (RCE)
  • SQL Injection
  • Broken Authentication
  • Broken Session Management
  • Access Control Bypass
  • Cross-Site Scripting (XSS)
  • Cross-Site Request Forgery (CSRF)
  • Open URL Redirection
  • Directory Traversal

Relatórios de quando um invasor pode ameaçar apenas sua própria conta com o papel de Admin não será recompensado com a recompensa. O XSS causado por um Admin não será recompensando com uma recompensa.

Para se qualificar, a vulnerabilidade deve estar presente no último lançamento público (incluindo versões betas públicas oficialmente lançadas) do software. Apenas vulnerabilidades de segurança se qualificarão. Nós adoraríamos se outras pessoas reportarem outros tipos de bugs através dos canais apropriados, mas como o propósito desse programa é de consertar as vulnerabilidades de segurança, apenas bugs que levem a uma vulnerabilidade de segurança será elegível para a recompensa. Outros bugs serão aceitos de acordo com nosso critério.

Diretrizes

Por favor siga as seguintes diretrizes para tornar-se elegível para a recompensa nesse programa de divulgação:

  • Não modifique ou delete permanentemente os dados hospedados pelo LiveAgent.
  • Não acesse intencionalmente dados não públicos do LiveAgent mais do que o necessário para demonstrar a vulnerabilidade.
  • Não faça DDoS ou interrompa, prejudique ou degrade nossos serviços internos ou externos.
  • Não compartilhe informações confidenciais obtidas do LiveAgent, incluindo mas não limitando-se a informações de pagamento de membros ou doadores, com terceiros envolvidos.
  • Engenharia social está fora do escopo. Não envie e-mails de phishing ou use outras técnicas de engenharia social contra ninguém, incluindo a equipe, membros, vendedores ou parceiros da QualityUnit.

Além disso, por favor espere ao menos 90 dias para consertarmos a vulnerabilidade, antes de você publicar, discutir ou postar em um blog sobre ela. Nosso time acredita que os pesquisadores de segurança têm o direito de publicar seu relatório e que a divulgação do mesmo é altamente benéfica, e entende que é uma questão altamente subjetiva de quando e como reter detalhes para mitigar o risco de que as informações de vulnerabilidade sejam mal utilizadas. Se você acredita que uma divulgação antecipada é necessária, por favor entre em contato conosco, para que possamos discutir a respeito.

Histórico de alterações

Nós informamos publicamente todos os nossos problemas consertados, através do nosso histórico de alterações. Problemas relacionados com segurança são marcados pela tag [Security].

Nosso website usa cookies. Ao continuar, assumimos que temos permissão para implantar nossos cookies como descrito em nossas política de privacidade e cookies.