Bug bounty Jivo:
платим за ошибки
Расскажите о наших уязвимостях в обмен на благодарность и вознаграждение
О программе
Мы тоже иногда ошибаемся
И призываем вас сообщить о наших ошибках. Пришлите письмо на bugbounty@jivochat.com и укажите:
1. описание уязвимости
2. шаги для эксплуатации уязвимости
3. имя и ссылку на профиль для публичной благодарности (если хотите)
1. описание уязвимости
2. шаги для эксплуатации уязвимости
3. имя и ссылку на профиль для публичной благодарности (если хотите)
Вознаграждение до 30 000 руб.
Мы протестируем ошибку и ответим вам в течение 14 рабочих дней. В зависимости от критичности уязвимости вы получите вознаграждение в размере от 30 до 300 долларов.
Где искать
Наши основные приложения:
— app.jivosite.com, app3.jivosite.com — web-версия приложения оператора и регистрация
— desktop и мобильные приложения с этой страницы https://www.jivo.ru/apps
— code.jivosite.com — окно чата на сайте
Это не полный список, мы рассмотрим любые обращения, касающиеся наших приложений и доменов *.jivosite.com *.jivochat.com *.jivochat.com.br и прочих.
Что искать
Критичные уязвимости
Получение доступа к переписке, списку клиентов других аккаунтов, записям вызовов, переданным файлам
Изменение настроек других аккаунтов или удаление данных в других аккаунтах
Получение какого-либо доступа к файлам на устройстве оператора через приложения Jivo
Получение конфиденциальной информации об операторах аккаунта (email, телефон, ip-адрес) без учетной записи в этом аккаунте (деанонимизация оператора)
Получение доступа к внутренним системам Jivo (они находятся на доменах *.jivosite.com)
Средняя критичность
Повышение привилегий в рамках одного аккаунта (оператор-администратор)
Уязвимости, для эксплуатации которых потребуется убедить пользователя совершать определенные действия в приложении или на посторонних сайтах
Уязвимости, которые нас не интересуют
Отсутствие защиты или несоответствия рекомендациям (security best practices) без конкретного сценария эксплуатации
Сообщения от сканеров безопасности
Сообщения об уязвимостях, основанные на версиях продукта / протокола без демонстрации уязвимости
Переполнение Inbox операторов спам сообщениями или звонками
Получение доступа к данным аккаунта при условии физического доступа к разблокированному устройству оператора
Получение заведомо открытых данных оператора (аватар и имя на сайте)
Получение доступа к премиум-функциям без лицензии
Перебор адресов электронной почты пользователей. Получение списка адресов почты без перебора входит в программу Bug Bounty
Обход оператором без прав администратора разграничения доступа к назначению клиентов, чатам с клиентами, статистике и т. п. внутри своего аккаунта. Обход доступа к командным чатам внутри аккаунта входит в BugBounty
Условия
программы
программы
Рассматриваются только уязвимости в приложениях Jivo, окне чата, партнерском кабинете. Мы не будем рассматривать уязвимости и баги на сайтах, которые установили наш чат. Более того, мы не рекомендуем искать уязвимости на этих сайтах, кроме случаев когда они сами приглашают это сделать.
Уязвимости в плагинах CMS и других сторонних систем будут рассматриваться, только если они принадлежат Jivo.
Мы не рассматриваем уязвимости DoS (отказ в обслуживании) и просим вас не использовать инструменты нагрузочного тестирования на наших серверах.
Вознаграждение за уязвимость может быть выплачено только первому сообщившему о ней. О том, что нужно включить в отчет, написано выше.
Раскрытие уязвимостей куда-либо, кроме security@jivosite.com, является нарушением условий программы. В таких случаях мы не выплачиваем вознаграждение.
Вознаграждение пропорционально критичности уязвимости (более подробно о том, что считаем критичным — см. выше).
При исследовании мы просим вас использовать собственные тестовые аккаунты и не предпринимать действий, которые могут навредить другим пользователям или нарушить их конфиденциальность.
На анализ сообщения нам потребуется до 14 рабочих дней.
Помимо вознаграждения мы можем публично поблагодарить вас на странице на нашем сайте и/или предоставить щедрую лицензию на использование Jivo.
Мы оставляем за собой право отказать в выплате вознаграждения по нашему усмотрению, а также модифицировать условия программы или отменить ее без предупреждения.
