JivoChat Ödül Avcılığı:
hatalarımızla para kazanın
Minnettarlık ve ödül karşılığında bize güvenlik zayıflıklarımızı gösterin
Program hakkında
Bazen bizim de hatalarımız olabilir
Bu nedenle açıklarımızı gördüğünüzde bize iletmeniz önemli. bugbounty@jivochat.com adresimize bir e-posta gönderin ve şunları ekleyin:
1. Açığımızın detaylı açıklaması
2. Bu açığı hangi adımlarla manipüle edebileceğimizin yönergesi
3. Adınız ve açık bir profil linkiniz (eğer size açıkça teşekkür etmemizi istiyorsanız)
1. Açığımızın detaylı açıklaması
2. Bu açığı hangi adımlarla manipüle edebileceğimizin yönergesi
3. Adınız ve açık bir profil linkiniz (eğer size açıkça teşekkür etmemizi istiyorsanız)
300$'a kadar ödül
Hatayı test edip 14 iş günü içinde size yanıt vereceğiz. Güvenlik açığının ciddiyetine bağlı olarak 30 ila 300 ABD Doları arasında bir ödül alacaksınız.
Nereye bakmalı
Ana uygulamalarımız
— app.jivosite.com, app3.jivosite.com — Temsilci uygulamamızın web versiyonu
— https://www.jivochat.com.tr/apps sayfamızdaki mobil ve masaüstü uygulamalarımız
— code.jivosite.com — sitedeki canlı destek penceresinin yüklendiği sunucu
Bu tam bir liste değildir, *.jivosite.com *.jivochat.com *.jivochat.com.tr ve diğer uygulamalarımız ve etki alanlarımızla ilgili tüm istekleri dikkate alacağız.
Neye bakmalı
Kritik açıklar
Yazışmalara, diğer hesapların müşteri listesine, arama kayıtlarına, aktarılan dosyalara erişim elde etme
Diğer hesapların ayarlarını değiştirme veya diğer hesaplardaki verileri silme yeteneği
Herhangi bir erişim elde etme JivoChat uygulamaları aracılığıyla temsilcinin cihazındaki dosyalara
Ana hesapta bir yönetici olmadan hesap temsilcileri (e-posta, telefon, IP adresi) hakkında gizli bilgilerin elde edilmesi (temsilcilerin anonimleştirilmesi)
Dahili JivoChat sistemlerine erişim sağlanması ( *.domains.jivosite.com adresinde bulunurlar)
JivoChat sunucularına, veritabanlarına veya veritabanı yedeklerine erişim
Ortalama kritiklik seviyesi
Tek bir hesap (temsilciler-yönetici) içinde yetki artışı
Kullanıcının uygulamada veya üçüncü taraf sitelerde belirli eylemleri gerçekleştirmeye ikna edilmesini gerektiren güvenlik açıkları
İlgilenmediğimiz açıklar
Belirli bir istismar senaryosu olmadan koruma eksikliği veya önerilere (en iyi güvenlik uygulamaları) uyulmaması
Güvenlik tarayıcılarından gelen mesajlar
Güvenlik açığı gösterilmeden ürün/protokol sürümlerine dayalı güvenlik açığı raporları
Spam mesajlar veya çağrılarla ajanların gelen kutusu taşması
Temsilcinin kilitli olmayan cihazına fiziksel erişiminiz olması koşuluyla hesap verilerinize erişim elde etme
Temsilcinin bilinen genel verilerini (sitedeki avatar ve isim) alma
Premium özelliklere lisanssız erişim
Brute-force ile kullanıcı hesabı e-posta numaralandırması. Kullanıcı e-postalarının listesini Brute-force olmadan almak kapsam dahilindedir.
Yönetici ayrıcalıklarına sahip olmayan bir temsilcinin aynı hesap içinde müşteri atamasına veya müşteri sohbetlerine, istatistiklerine vb. erişmesine izin veren yetki atlama. Aynı hesaptaki ekip sohbetlerine yetkisiz erişim kapsam dahilindedir.
Şartlar ve kurallar
Yalnızca JivoChat uygulamalarındaki, sohbet penceresindeki ve ortak hesabındaki güvenlik açıkları dikkate alınır. Canlı sohbetimize yerleşen sitelerdeki güvenlik açıklarını ve hataları dikkate almayacağız. Ayrıca, güvenlik açıklarını aramanızı önermiyoruz. Bu siteler, sizi buna davet ettikleri durumlar dışında.
CMS eklentilerindeki ve diğer üçüncü taraf sistemlerdeki güvenlik açıkları, yalnızca JivoChat'e ait olmaları durumunda dikkate alınacaktır.
DoS (Hizmet Reddi) güvenlik açıklarını dikkate almıyoruz ve sunucularımızda yük testi araçlarını kullanmamanızı rica ediyoruz.
Bir güvenlik açığı için ödül, yalnızca onu ilk bildiren kişiye ödenebilir. Rapora dahil etmeniz gerekenler yukarıda yazılmıştır.
Ödül, güvenlik açığının kritikliğiyle orantılıdır (kritik olduğunu düşündüğümüz şeyler hakkında daha fazla ayrıntı yukarıda verilmiştir).
Araştırma sırasında test hesaplarınızı kullanmanızı ve diğer kullanıcılara zarar verecek veya mahremiyetlerini ihlal edecek işlemlerde bulunmamanızı rica ederiz.
Mesajı analiz etmemiz 14 iş günü kadar sürecektir.
Ödülleri PayPal ya da banka transferi ile öderiz. Ayrıca, web sitemizdeki bir sayfada herkese açık bir şekilde teşekkür edebilir ve/veya size JivoChat'i kullanmanız için cömert bir lisans verebiliriz.
Kendi takdirimize bağlı olarak ücret ödemesini reddetme, ayrıca programın şartlarını değiştirme veya bildirimde bulunmaksızın iptal etme hakkımızı saklı tutuyoruz.
Güvenlik açıklarının security@jivosite.com dışında başka bir yerde ifşa edilmesi program şartlarının ihlali anlamına gelir. Bu gibi durumlarda herhangi bir ödül ödemiyoruz.
