Программа Bug Bounty

Откройте для себя программу Bug Bounty от LiveAgent! Сообщайте о проверенных уязвимостях безопасности и получайте награды. Помогите нам обеспечить безопасность LiveAgent для всех!

Программа раскрытия уязвимостей

LiveAgent стремится обеспечить безопасность своего сервиса для всех, и безопасность данных имеет первостепенное значение. Наша программа раскрытия уязвимостей предназначена для минимизации влияния любых проблем безопасности на наши инструменты или их пользователей. Программа раскрытия уязвимостей LiveAgent охватывает программное обеспечение, частично или в основном написанное компанией Quality Unit.

Если вы исследователь безопасности и обнаружили уязвимость безопасности в сервисе, мы благодарны вам за помощь в конфиденциальном раскрытии этой информации и предоставлении нам возможности исправить её перед публикацией технических деталей.

LiveAgent будет взаимодействовать с исследователями безопасности при сообщении об уязвимостях, как описано здесь. Мы будем проверять, реагировать и исправлять уязвимости в поддержку нашего обязательства по безопасности и конфиденциальности. Мы не будем предпринимать судебные действия, приостанавливать или прекращать доступ к сервису для тех, кто ответственно обнаруживает и сообщает об уязвимостях безопасности. LiveAgent сохраняет все свои законные права в случае любого несоответствия.

Сообщение об уязвимостях

Поделитесь деталями любых предполагаемых уязвимостей с командой разработки LiveAgent по адресу support@liveagent.com . Пожалуйста, не раскрывайте эти детали публично вне этого процесса без явного разрешения.

При сообщении о любых предполагаемых уязвимостях, пожалуйста, включите как можно больше информации. Если вы хотите отправить несколько отчётов одновременно, пожалуйста, отправьте только один отчёт (самый важный, если возможно) и дождитесь ответа.

Компенсация

Мы рады предложить вознаграждение за информацию об уязвимостях, которая помогает нам защитить наших клиентов, в качестве благодарности исследователям безопасности, которые решили участвовать в нашей программе bug bounty. Обычное вознаграждение составляет $100 за уязвимость, отправленную и проверенную нашей командой разработки.

Мы вознаграждаем только первого сообщившего об уязвимости. Дублирующиеся отчёты не будут вознаграждены.

Область действия

Вы можете тестировать только учётную запись LiveAgent, владельцем которой вы являетесь, или агента, авторизованного владельцем учётной записи для проведения такого тестирования. Например:

  • yourdomain.ladesk.com

Типы уязвимостей, за которые выплачивается вознаграждение

Мы вознаградим вас за следующие типы уязвимостей:

  • Удалённое выполнение команд (RCE)
  • SQL-инъекция
  • Нарушение аутентификации
  • Нарушение управления сеансом
  • Обход контроля доступа
  • Межсайтовый скриптинг (XSS)
  • Подделка межсайтовых запросов (CSRF)
  • Открытое перенаправление URL
  • Обход директорий

Примечание: Отчёты о случаях, когда злоумышленник может угрожать только своей собственной учётной записи с ролью администратора, не будут вознаграждены. XSS, вызванный администратором, не будет вознаграждён.

Чтобы соответствовать требованиям, уязвимость должна существовать в последнем публичном выпуске (включая официально выпущенные публичные бета-версии) программного обеспечения. Квалифицируются только уязвимости безопасности. Мы будем рады, если люди сообщат об других ошибках через соответствующие каналы, но поскольку цель этой программы — исправить уязвимости безопасности, только ошибки, приводящие к уязвимостям безопасности, будут иметь право на вознаграждение. Другие ошибки будут приняты на наше усмотрение.

Рекомендации

Пожалуйста, придерживайтесь следующих рекомендаций, чтобы иметь право на вознаграждение в соответствии с этой программой раскрытия:

  • Не изменяйте и не удаляйте постоянно данные, размещённые на LiveAgent.
  • Не получайте доступ к непубличным данным LiveAgent больше, чем необходимо для демонстрации уязвимости.
  • Не проводите DDoS-атаки и не нарушайте, не прерывайте и не деградируйте наши внутренние или внешние сервисы.
  • Не делитесь конфиденциальной информацией, полученной от LiveAgent, включая, но не ограничиваясь информацией о платежах членов или донаторов, с третьими лицами.
  • Социальная инженерия выходит за рамки программы. Не отправляйте фишинговые письма и не используйте другие методы социальной инженерии против кого-либо, включая сотрудников QualityUnit, членов, поставщиков или партнёров.

Кроме того, пожалуйста, дайте нам как минимум 90 дней для исправления уязвимости перед публичным обсуждением или написанием о ней в блоге. Наша команда считает, что исследователи безопасности имеют право сообщать о своих исследованиях и что раскрытие информации весьма полезно, и понимает, что это весьма субъективный вопрос о том, когда и как скрывать детали, чтобы снизить риск неправомерного использования информации об уязвимостях. Если вы считаете, что более раннее раскрытие необходимо, пожалуйста, дайте нам знать, чтобы мы могли начать обсуждение.

Журнал изменений

Мы публично информируем обо всех исправленных проблемах безопасности через наш журнал изменений . Проблемы, связанные с безопасностью, отмечены тегом [Security].

Лидер в области программного обеспечения для службы поддержки

Обеспечивайте исключительную поддержку клиентов по нескольким каналам и автоматизируйте обслуживание клиентов с помощью LiveAgent.

Начать 30-дневный бесплатный пробный период Demo

Вы будете в надежных руках!

Присоединяйтесь к нашему сообществу довольных клиентов и предоставляйте отличную поддержку с помощью LiveAgent.

Начать 30-дневный бесплатный пробный период Запланировать демо
Post Affiliate Pro Dashboard - Campaign Manager Interface