LiveAgent Bug Bounty program

A biztonsági rés közzétételi programja

A LiveAgent mindenki számára biztonságossá szeretné tenni a szolgáltatását és az adatvédelem ennek egyik fontos részét képezi. A mi biztonsági rés-feltárási programunk szeretné minimalizálni az adatok sérülésének esélyét a felhasználók részére és az eszközeinken is.

Ha ön a biztonsággal kapcsolatos kutatást végzett és hiányosságot fedezett fel a szolgáltatásunkban, kérjük közölje ezt velünk bizalmasan! Megköszönjük a segítségét, hogy kijavíthassuk a hibát, mielőtt még a technikai részletek felszínre kerülnének.

A LiveAgent együtt fog működni a biztonságkutatókkal, ha valami hibáról tesznek bejelentést, a következő módon: válaszolunk, elismerjük a hibát és kijavítjuk azt, a biztonság és titoktartás betartása mellett. Nem tereljük a dolgot jogi útra azok ellen, akik bejelentést tesznek vagy felfedeznek hiányosságot. Nem szüneteltetjük meg a hozzáférésüket a szolgáltatáshoz átmenetileg vagy véglegesen. A LiveAgent fenntartja a jogait minden nem megfelelő felhasználás esetén.

Jelentések

Ossza meg észrevételeit bármilyen gyanús biztonsági résről a LiveAgent fejlesztői csapatával, a support@liveagent.com-on! Kérjük, ne adja ki a nyilvánosságnak ezeket az információkat, csak ha erre kifejezetten engedélyt kapott! Ha bejelentést tesz bármilyen biztonsági hiányosságról, kérem közöljön minél több információt! Ha több bejelentést is szeretne tenni, akkor először csak egyet jelentsen be, (ami a legfontosabb) és várjon a válaszra!

Kompenzáció

A biztonsági résről szóló információért jutalmat ajánlunk. Köszönet a biztonsági kutatóknak, akik részt vesznek a bug bounty programunkban, ami által segítjük megvédeni a vevőink biztonságát. Az átlagos jutalom 50 € minden bejelentés után, aminek létjogosultságát a fejlesztőcsapatunk ellenőrzi.

Mi csak a hiányosság legelső bejelentőjét jutalmazzuk. Ismétlődő jelentések ugyanarróla hibáról nem lesznek jutalmazva.

Hatáskör

Csak olyan LiveAgent-fiókkal tesztelhet, amelynek Ön a tulajdonosa vagy a tulajdonos által ilyen tesztelésre felhatalmazott ügynök. Például:

• *yourdomain*.ladesk.com

A következő hiányosságok bejelentéséért jutalmazzuk Önt:

• Távoli parancsvégrehajtás
• SQL injektálás
• Hitelesítési hiba
• Munkafolyamati hiba
• Hozzáférési jogosultság megkerülése
• Helyközi parancsfájlt tartalmazó támadás (XSS)
• Webhelyek közötti manipulációk (CSRF)
• Nyílt URL átirányítás
• Címjegyzékbe való belépés

A bejelentések olyan támadásról, amelyekkel az admin csak a saját fiókját veszélyezteti, nem kapnak jutalmat. Ha az admin okoz XSS-t, szintén nem kaphat jutalmat.

Jutalom kiérdemlésének feltétele, hogy a biztonsági rés létezik a szoftver legfrissebb nyilvános kiadásában, és a nyilvánosan kiadott bétában. Csak a biztonsági hiányosságokért jár jutalom. Örülünk, ha más hibákról is tudomást szerzünk ügyfeleinktől a megfelelő csatornákon keresztül, de mivel ennek a programnak a célja a biztonsági hiányosságok feltérképezése, csak azok a hibabejelentések lesznek jutalmazva, amik a biztonsággal kapcsolatosak. Más hibákat saját belátásunk szerint fogadunk el.

Útmutató

Kérem vegye figyelembe az alábbi útmutatót, hogy jutalmat kaphasson ebben a leleplező programban!

• Véglegesen ne módosítsa vagy törölje a LiveAgent által szolgáltatott adatokat!
• Ne próbáljon megszerezni nem nyilvános LiveAgent adatokat, csak annyit, amennyi feltétlenül szükséges a biztonsági hiba bemutatásához!
• Ne alkalmazzon DDoS-t vagy ne rongálja más módon, illetve ne akadályozza a belső vagy külső szolgáltatásunkat!
• Ne osszon meg bizalmas információt senkivel, amit a LiveAgenttől szerzett, beleértve, de nem kizárólag, a tagok vagy adományozók fizetési adatait, bármely harmadik féllel.
• Nem megengedett a pszichológiai manipuláció. Ne használjon adathalászat célzatú e-maileket és ne alkalmazzon pszichológiai manipulációt senkivel szemben, mint pl.: QualityUnit dolgozók, tagok, kereskedők, partnerek.

Továbbá megkérjük önt, hogy adjon nekünk 90 napot a biztonsági probléma megoldására, mielőtt nyilvánosságra hozná a dolgot vagy blogbejegyzésbe tenné. Mi csapatként abban hiszünk, hogy a kutatóknak joguk van ahhoz, hogy bejentést tegyenek a hibáról és annak felszínre kerülése kiemelten hasznos, valamint megértjük, hogy nagyon szubjektív kérdés, hogy hogyan kezeljük a részleteket a biztonsági résről szóló információ helytelen használatának kockázatának csökkentése érdekében. Ha ön úgy gondolja, hogy hamarabbi nyilvánosságrahozatal szükséges, kérem tudassa velünk, hogy ezzel kapcsolatban eszmecserét folytathassunk!

Változtatási napló

Mi nyilvánosan értesítjük önt minden kijavított biztonsági hibáról a változtatási naplónkon keresztül. A biztonsághoz kapcsolódó témákat a {Biztonság} címke alatt találja.