Vulnerability disclosure program

Nilalayon ng LiveAgent na panatilihing ligtas ang serbisyo nito para sa lahat, at ang seguridad ng data ay pinakamahalaga. Inilaan ang aming Vulnerability Disclosure Program upang mabawasan ang epekto ng anumang mga kapintasan sa seguridad sa aming mga tool o sa kanilang mga gumagamit. Sakop ng Vulnerability Disclosure Program ng LiveAgent ang software na bahagya o pangunahing isinulat ng Quality Unit.

Kung ikaw ay isang mananaliksik sa seguridad at natuklasan ang isang kahinaan sa seguridad sa Serbisyo, pinahahalagahan namin ang iyong tulong sa pagsisiwalat nito sa amin nang pribado at binibigyan kami ng isang pagkakataon na ayusin ito bago mai-publish ang mga teknikal na detalye

Makikipag-ugnayan ang LiveAgent sa mga mananaliksik sa seguridad kapag ang mga kahinaan ay naiulat sa amin tulad ng inilarawan dito. Susubukan naming patunayan, tumugon, at ayusin ang mga kahinaan sa suporta ng aming pangako sa seguridad at privacy. Hindi kami gagawa ng ligal na aksyon laban, suspindihin, o wakasan ang pag-access sa Serbisyo ng mga makakatuklas at nag-uulat ng mga kahinaan sa seguridad nang responsable. Inilalaan ng LiveAgent ang lahat ng mga ligal na karapatan nito sa kaganapan ng anumang hindi pagsunod.

Reporting

Ibahagi ang mga detalye ng anumang hinihinalang kahinaan sa LiveAgent Development Team sa support@liveagent.com. Mangyaring huwag ibunyag sa publiko ang mga detalyeng ito sa labas ng prosesong ito nang walang malinaw na pahintulot. Sa pag-uulat ng anumang hinihinalang kahinaan, mangyaring magsama ng maraming impormasyon hangga’t maaari. Kung nais mong magsumite ng maraming mga ulat nang sabay-sabay, mangyaring magsumite lamang ng isang ulat (ang pinakamahalaga kung maaari) at maghintay para sa isang tugon.

Compensation

Ikinalulugod naming mag-alok ng isang biyaya para sa impormasyon sa kahinaan na tutulong sa amin na protektahan ang aming mga kustomer bilang pasasalamat sa mga mananaliksik sa seguridad na piniling lumahok sa aming bug bounty program. Ang regular na gantimpala ng bounty ay $50 bawat kahinaan na isinumite at na-verify ng aming development team.

Gagantimpalaan lamang namin ang unang reporter ng isang kahinaan. Ang mga dobleng ulat ay hindi gagantimpalaan.

Saklaw

Maaari mo lamang subukan ang laban sa isang LiveAgent Account kung saan ikaw ang May-ari ng Account o isang Ahente na pinahintulutan ng May-ari ng Account na magsagawa ng nasabing pagsubok. Halimbawa:

*yourdomain*.ladesk.com

Gagantimpalaan ka namin para sa mga sumusunod na uri ng mga kahinaan:

Remote Command Execution (RCE)
SQL Injection
Broken Authentication
Broken Session Management
Access Control Bypass
Cross-Site Scripting (XSS)
Cross-Site Request Forgery (CSRF)
Open URL Redirection
Directory Traversal

Ang mga ulat kung kailan maaaring banta ng isang umaatake ang kanyang sariling account na may tungkulin sa Admin lamang ay hindi bibigyan ng gantimpala. Ang XSS na sanhi ng isang Admin ay hindi gagantimpalaan ng isang biyaya.

Upang maging kwalipikado, ang kahinaan ay dapat na umiiral sa pinakabagong pagpapalabas sa publiko (kabilang ang opisyal na inilabas na mga pampublikong betas) ng software. Ang mga kahinaan lamang sa seguridad ang magiging kwalipikado. Gustung-gusto namin ito kung ang mga tao ay nag-ulat ng iba pang mga bug sa pamamagitan ng naaangkop na mga channel, ngunit dahil ang layunin ng programa na ito ay upang ayusin ang mga kahinaan sa seguridad, ang mga bug lamang na humahantong sa mga kahinaan sa seguridad ang magiging karapat-dapat para sa mga gantimpala. Ang iba pang mga bug ay tatanggapin ayon sa aming paghuhusga.

Mga Patnubay

Mangyaring sumunod sa mga sumusunod na alituntunin upang maging karapat-dapat para sa mga gantimpala sa ilalim ng programang ito ng pagsisiwalat:

Huwag permanenteng baguhin o tanggalin ang hosted data ng LiveAgent
Huwag sadyang i-access ang di-pampubliko na data ng LiveAgent nang higit pa kaysa sa kinakailangan upang maipakita ang kahinaan.
Huwag mag DDoS o kung hindi man makagambala, makaperwisyo o i-degrade ang aming panloob o panlabas na mga serbisyo.
Huwag magbahagi ng kumpidensyal na impormasyon na nakuha mula sa LiveAgent, kasama ngunit hindi limitado sa impormasyon ng pagbabayad ng miyembro o donor, sa anumang third party.
Wala sa saklaw ang social engineering. Huwag magpadala ng mga phishing email, o gumamit ng iba pang mga diskarte sa social engineering laban sa, sinuman, kabilang ang staff ng QualityUnit, mga miyembro, vendor, o kasosyo.

Bilang karagdagan, mangyaring payagan kaming hindi bababa sa 90 araw upang ayusin ang kahinaan bago talakayin sa publiko o i-blog ang tungkol dito. Naniniwala ang aming team na ang mga mananaliksik sa seguridad ay may karapatang mag-ulat ng kanilang pagsasaliksik at ang pagsisiwalat ay lubos na kapaki-pakinabang, at nauunawaan na ito ay highly subjective na tanong kung kailan at kung paano pipigilan ang mga detalye upang mapagaan ang peligro na ang maling impormasyon ay hindi magagamit. Kung naniniwala kang kinakailangan ang mas maagang pagsisiwalat, mangyaring ipaalam sa amin upang masimulan namin ang isang pag-uusap.

Change log

Ipinapaalam namin sa publiko ang tungkol sa lahat ng naayos na mga isyu sa seguridad sa pamamagitan ng aming change log. Ang mga isyu na nauugnay sa seguridad ay minarkahan ng tag [Security].