Программа раскрытия уязвимостей

LiveAgent стремится обеспечить безопасность своих сервисов для всех, поэтому безопасность данных – наиважнейший приоритет. Наша программа раскрытия уязвимостей создана для минимизации последствий любых недочетов в системе безопасности для наших сервисов или их конечных пользователей. Программа раскрытия уязвимостей LiveAgent покрывает программное обеспечение, частично или в основном разработанное компанией Quality Unit.

Если Вы занимаетесь исследованиями в сфере компьютерной безопасности и обнаружите уязвимость в нашей Системе, мы будем благодарны, если Вы непублично сообщите нам об этой уязвимости и дадите нам возможность исправить ее до того, как Вы опубликуете техническое описание этой проблемы.

После того, как исследователь в сфере безопасности передает нам описание уязвимости в описанном выше формате, мы обязательно с ним/ней связываемся. Мы проверяем факт наличия уязвимости, отвечаем нашедшему ее и исправляем ее для обеспечения безопасности и конфиденциальности данных. Мы не станем предпринимать шагов для юридического преследования нашедшего уязвимость, приостанавливать действие его учетной записи или удалять ее, если это лицо ответственно отнесется к сообщению нам информации о находке. В случае же нарушения указанного порядка, LiveAgent оставляет за собой все права на юридически значимые действия.

Предоставление информации

Делитесь информацией о любых возможных уязвимостях с командой разработчиков LiveAgent по электронной почте support@liveagent.com. Пожалуйста, не размещайте публично эти данные вне процесса предоставления информации разработчику без явно выраженного на то согласия LiveAgent. При сообщении информации о любых возможных уязвимостях, пожалуйста, передавайте нам информацию во всей ее максимальной полноте. Если у Вас имеется информация о нескольких уязвимостях, пожалуйста, отправляйте информацию только об одной из них (по возможности, о самой важной) и дождитесь ответа.

Вознаграждение

В качестве благодарности, мы рады предложить исследователям в сфере компьютерной безопасности, которые решили участвовать в нашей Программе Bug Bounty, денежное вознаграждение за информацию об уязвимостях нашей системы, которая может помочь нам лучше защитить наших пользователей. Размер вознаграждения составляет €50 за каждую уязвимость, переданную нам и подтвержденную нашей командой разработчиков.

Вознаграждение получает только первый человек, сообщивший об определенной уязвимости. Повторные обращения по поводу той же проблемы вознаграждены не будут.

Масштаб

Тестировать систему на уязвимости допускается лишь из-под учетной записи клиента LiveAgent, владельцем которой Вы являетесь, либо из-под учетной записи сотрудника клиента LiveAgent, которому владельцем учетной записи клиента было дано разрешение на проведение такого тестирования. К примеру:

  • *ваш-домен*.ladesk.com

Мы готовы выплачивать вознаграждение за обнаружение следующих типов уязвимостей:

  • Удаленное выполнение кода (RCE)
  • Внедрение (инъекция) SQL-кода
  • Сломанная аутентификация
  • Сломанное управление сессиями
  • Обход контроля доступа
  • Межсайтовый скриптинг (XSS)
  • Межсайтовая подделка запроса (CSRF)
  • Уязвимости типа Open Redirect
  • Обратный путь в каталогах

Не вознаграждаются отчеты о ситуациях, когда злоумышленник, обладая правами администратора в отношении своей собственной учетной записи, может угрожать лишь ее безопасности. XSS, запущенный администратором, не может претендовать на получение вознаграждения.

Для того чтобы претендовать на получение вознаграждения, уязвимость должна присутствовать в последнем публично доступном релизе (включая официально опубликованные бета-релизы) программного комплекса. Учитываются только уязвимости в безопасности. Мы будем рады, если наши пользователи будут сообщать нам и об иных ошибках по соответствующим каналам связи, но, поскольку целью данной программы является устранение уязвимостей в безопасности, только ошибки, ведущие к таким уязвимостям, могут претендовать на получение вознаграждения. Ошибки другого рода могут быть приняты, но это исключительно на наше усмотрение.

Инструкции

Для того чтобы претендовать на получение вознаграждения в рамках настоящей программы раскрытия уязвимостей, пожалуйста, следуйте следующим инструкциям:

  • Не удаляйте и не модифицируйте безвозвратно данные, хранящиеся в системе LiveAgent.
  • Не используйте полученный в результате уязвимости доступ к непубличным данным LiveAgent целенаправленно и большей мере, чем это необходимо для демонстрации этой уязвимости.
  • Не подвергайте наши внутренние или внешние сервисы DDoS-атакам или иным способам их нарушить, прервать или замедлить.
  • Не передавайте любым третьим лицам полученную в системе LiveAgent конфиденциальную информацию, в том числе (но не ограничиваясь этим) платежную информацию клиентов и дарителей.
  • Социальная инженерия не входит в список вознаграждаемых уязвимостей. Не нужно направлять кому бы то ни было, включая сотрудников, клиентов, поставщиков или партнеров Quality Unit, фишинговые письма или применять иные методы социальной инженерии.

Вдобавок к сказанному, пожалуйста, дайте нам, как минимум 90 дней на то, чтобы исправить уязвимость, прежде чем публично обсуждать или размещать информацию о ней. Наша команда согласна с тем, что специалисты по обнаружению уязвимостей вправе публиковать свои исследования, и что раскрытие такой информации очень полезно. Мы понимаем, что вопрос о том, когда и какую информацию следует скрывать, чтобы не допустить противоправного и злонамеренного использования информации об уязвимости, – это вопрос очень щепетильный. Поэтому, если Вы считаете, что опубликовать Ваше открытие следует как можно раньше, дайте нам знать, и мы сможем обсудить этот вопрос.

Журнал изменений

В нашем журнале изменений мы официально публикуем информацию обо всех устраненных уязвимостях в сфере безопасности. Изменения, связанные с безопасностью, помечены тегом [Security] (Безопасность).

Our website uses cookies. By continuing we assume your permission to deploy cookies as detailed in our privacy and cookies policy.