Programma di divulgazione delle vulnerabilità

LiveAgent mira a mantenere il suo servizio al sicuro per tutti e la sicurezza dei dati è la massima priorità. Il nostro programma di divulgazione delle vulnerabilità ha lo scopo di ridurre al minimo l’impatto che eventuali falle di sicurezza hanno sui nostri strumenti o sui loro utenti. Il programma di divulgazione delle vulnerabilità di LiveAgent copre i software parzialmente o principalmente scritti da Quality Unit.

Se sei un ricercatore di sicurezza e hai scoperto una vulnerabilità di sicurezza nel Servizio, apprezzeremo il tuo aiuto nel rivelarcelo in privato, dandoci l’opportunità di risolverlo prima di pubblicare dettagli tecnici.

LiveAgent si impegnerà con i ricercatori sulla sicurezza quando ci verranno segnalate vulnerabilità come qui descritto. Convalideremo, risponderemo e correggeremo le vulnerabilità a sostegno del nostro impegno per la sicurezza e la privacy. Non intraprenderemo azioni legali ne sospenderemo o interromperemo l’accesso al Servizio contro coloro che scoprono e segnalano le vulnerabilità della sicurezza in modo responsabile. LiveAgent si riserva tutti i suoi diritti legali in caso di non conformità.

Segnalazione

Condividi i dettagli di eventuali vulnerabilità sospette con il team di sviluppo di LiveAgent all’indirizzo support@liveagent.com. Si prega di non divulgare pubblicamente questi dettagli al di fuori di questo processo senza autorizzazione esplicita. Nel segnalare eventuali vulnerabilità sospette, includi quante più informazioni possibili. Se desideri inviare più rapporti contemporaneamente, invia solo un rapporto (il più importante se possibile) e attendi una risposta.

Ricompensa

Siamo lieti di offrire una ricompensa per le informazioni sulla vulnerabilità che ci aiuta a proteggere i nostri clienti come ringraziamento ai ricercatori di sicurezza che scelgono di partecipare al nostro programma di bug bounty. La normale ricompensa del bounty è di € 50 per bounty inviato e verificato dal nostro team di sviluppo.

Ricompenseremo solo il primo reporter di una vulnerabilità. I rapporti duplicati non verranno ricompensati.

Scopo

Puoi eseguire il test solo con un account LiveAgent di cui sei il proprietario dell’account o un agente autorizzato dal proprietario dell’account a condurre tale test. Per esempio:

  • *yourdomain*.ladesk.com

Ti ricompenseremo per i seguenti tipi di vulnerabilità:

  • Esecuzione del comando remoto (RCE)
  • SQL Injection
  • Autenticazione interrotta
  • Gestione delle sessioni interrotte
  • Bypass controllo accessi
  • Cross-Site Scripting (XSS)
  • Cross-Site Request Forgery (CSRF)
  • Apri reindirizzamento URL
  • Attraversamento directory

Le segnalazioni relative alle azioni di un utente malintenzionato che minaccia il proprio account solo con il ruolo di amministratore non verranno ricompensate con un bounty. XSS causato da un amministratore non verrà ricompensato con un bounty.

Per qualificarsi, la vulnerabilità deve essere presente nell’ultima versione pubblica (comprese le beta pubbliche rilasciate ufficialmente) del software. Solo le vulnerabilità di sicurezza si qualificheranno. Ci piacerebbe che le persone segnalassero altri bug tramite i canali appropriati, ma poiché lo scopo di questo programma è correggere le vulnerabilità di sicurezza, solo i bug che portano a vulnerabilità di sicurezza saranno idonei per i premi. Altri bug saranno accettati a nostra discrezione.

Linee guida

Attenersi alle seguenti linee guida per essere idonei ai premi nell’ambito di questo programma di divulgazione:

  • Non modificare o eliminare in modo permanente i dati ospitati da LiveAgent.
  • Non accedere intenzionalmente a dati LiveAgent non pubblici più del necessario per dimostrare la vulnerabilità.
  • Non eseguire attacchi DDoS o disgregare, interrompere o degradare in altro modo i nostri servizi interni o esterni.
  • Non condividere le informazioni riservate ottenute da LiveAgent, incluse ma non limitate alle informazioni sui pagamenti di membri o donatori, con terze parti.
  • L’ingegneria sociale è esclusa dal campo di applicazione. Non inviare e-mail di phishing o utilizzare altre tecniche di ingegneria sociale contro nessuno, inclusi il personale, i membri, i fornitori o i partner di QualityUnit.

Inoltre, concedici almeno 90 giorni per correggere la vulnerabilità prima di discuterne pubblicamente o scrivere sul blog. Il nostro team ritiene che i ricercatori sulla sicurezza abbiano il diritto di segnalare le loro ricerche e che la divulgazione sia estremamente vantaggiosa, e comprende che è una questione altamente soggettiva di quando e come trattenere i dettagli per mitigare il rischio che le informazioni sulla vulnerabilità vengano utilizzate in modo improprio. Se ritieni che sia necessaria una divulgazione anticipata, faccelo sapere in modo da poter iniziare una conversazione.

Registro delle modifiche

Informiamo pubblicamente su tutti i problemi di sicurezza risolti tramite il nostro  registro delle notifiche. I problemi relativi alla sicurezza sono contrassegnati dal tag [Security].

Our website uses cookies. By continuing we assume your permission to deploy cookies as detailed in our privacy and cookies policy.