LiveAgent Bug Bounty program

Program for afsløring af sårbarhed

LiveAgent sigter mod at beskytte sin service for alle, og datasikkerhed er af største betydning. Vores program til afsløring af sårbarheder har til formål at minimere den indvirkning, eventuelle sikkerhedsfejl har på vores værktøjer eller deres brugere. LiveAgents program for afsløring af sårbarhed dækker software delvist eller primært udviklet af Quality Unit.

Hvis du er sikkerhedsforsker og har opdaget en sikkerhedssårbarhed i Tjenesten, sætter vi pris på din hjælp til at videregive den til os privat og give os mulighed for at rette den, før vi offentliggør tekniske detaljer.

LiveAgent vil samarbejde med sikkerhedsforskere, når sårbarheder rapporteres til os som beskrevet her. Vi vil validere, reagere og rette sårbarheder til støtte for vores forpligtelse til sikkerhed og privatliv. Vi vil ikke tage retslige skridt mod, suspendere eller lukke adgangen til tjenesten for dem, der opdager og rapporterer sikkerhedssårbarheder på en ansvarlig måde. LiveAgent forbeholder sig alle sine juridiske rettigheder i tilfælde af manglende overholdelse.

Indberetning

Del detaljerne om eventuelle formodede sårbarheder med LiveAgent-udviklingsteamet på support@liveagent.com. Undlad venligst at offentliggøre disse detaljer uden for denne proces uden udtrykkelig tilladelse. Ved indberetning af formodede sårbarheder bedes du inkludere så mange oplysninger som muligt. Hvis du vil indsende flere rapporter på én gang, skal du kun indsende én rapport (den vigtigste, hvis det er muligt) og vente på et svar.

Belønning

Vi kan med glæde tilbyde en dusør for sårbarhedsoplysninger, der hjælper os med at beskytte vores kunder som en tak til de sikkerhedsforskere, der vælger at deltage i vores bug bounty-program. Den almindelige dusørbelønning er $50 per sårbarhed indsendt og verificeret af vores udviklingsteam.

Vi belønner kun den første melder af en sårbarhed. Dobbelt indberetning vil ikke blive belønnet.

Omfang

Du må kun teste mod en LiveAgent-konto, hvor du er kontoejer eller en agent, der er autoriseret af kontoejeren til at udføre en sådan test. For eksempel:

• *yourdomain*.ladesk.com

Vi belønner dig for følgende typer sårbarheder:

• Remote Command Execution (RCE)
• SQL Injection
• Broken Authentication
• Broken Session Management
• Access Control Bypass
• Cross-Site Scripting (XSS)
• Cross-Site Request Forgery (CSRF)
• Open URL Redirection
• Directory Traversal

Rapporter om, hvornår en angriber kun kan true sin egen konto med Admin-rollen, vil ikke blive belønnet med en dusør. XSS forårsaget af en Admin vil ikke blive belønnet med en dusør.

For at være berettiget skal sårbarheden findes i den seneste offentlige udgivelse (inklusive officielt udgivne offentlige betaversioner) af softwaren. Kun sikkerhedssårbarheder vil kvalificere sig. Vi vil meget have, at folk rapporterer andre fejl via de relevante kanaler, men da formålet med dette program er at rette sikkerhedssårbarheder, vil kun fejl, der fører til sikkerhedssårbarheder, være berettiget til belønninger. Andre fejl vil blive accepteret efter vores skøn.

Retningslinjer

Overhold venligst følgende retningslinjer for at være berettiget til belønninger under dette oplysningsprogram:

• Undlad at ændre eller slette LiveAgent-hostede data permanent.
• Du må ikke give dig selv adgang til ikke-offentlige LiveAgent-data mere end nødvendigt for at påvise sårbarheden.
• Undlad at DDoS eller på anden måde forstyrre, afbryde eller forringe vores interne eller eksterne tjenester.
• Del ikke fortrolige oplysninger indhentet fra LiveAgent, inklusive men ikke begrænset til medlems- eller donorbetalingsoplysninger, med nogen tredjepart.
• Social engineering ligger uden for anvendelsesområdet. Du må ikke sende phishing-e-mails til eller bruge andre social engineering-teknikker mod nogen, inklusive QualityUnit-medarbejdere, medlemmer, leverandører eller partnere.

Giv os desuden mindst 90 dage til at rette op på sårbarheden, før vi offentligt diskuterer eller blogger om det. Vores team mener, at sikkerhedsforskere har ret til at rapportere deres forskning, og at offentliggørelse er yderst gavnligt, og forstår, at det er et yderst subjektivt spørgsmål om, hvornår og hvordan man skal holde detaljer igen for at mindske risikoen for, at sårbarhedsoplysninger vil blive misbrugt. Hvis du mener, at tidligere offentliggørelse er nødvendig, bedes du give os besked, så vi kan indlede en samtale.

Ændringslog

Vi informerer offentligt om alle løste sikkerhedsproblemer gennem vores ændringslog. Problemer relateret til sikkerhed er markeret med tag [Security].