Caça-bugs JivoChat:
ganhe dinheiro com nossos erros
Reporte as nossas vulnerabilidades e seja recompensado por isso
Sobre o programa
Nós também erramos às vezes
Por isso, te encorajamos a reportar bugs e erros que encontrar. Envie um e-mail para: bugbounty@jivochat.com
e especifique:
1. A descrição da vulnerabilidade;
2. Passos para abusar deste erro;
3. Nome e link de sua rede social caso queira ser recompensado de forma pública.
e especifique:
1. A descrição da vulnerabilidade;
2. Passos para abusar deste erro;
3. Nome e link de sua rede social caso queira ser recompensado de forma pública.
Recompensa de até $300
Nós testaremos o bug e responderemos dentro de 14 dias úteis. Dependendo de quão crítica for a vulnerabilidade, você receberá uma recompensa entre $30 e $300
Onde procurar
Nossos principais aplicativos:
— app.jivosite.com, app3.jivosite.com — versão web do aplicativo de operadores e de cadastro;
— aplicativos desktop e mobile da página https://www.jivo.com.br/apps
— code.jivosite.com — janela de chat em nosso site
Esta não é uma lista completa. Nós avaliaremos todos os erros reportados relacionados aos nossos aplicativos e domínios: *.jivosite.com *.jivochat.com *.jivochat.com.br e outros.
Fique de olho
Vulnerabilidades críticas
Receber acesso às mensagens, lista de clientes, gravações, arquivos compartilhados ou histórico de outras contas.
Poder alterar ou excluir dados de outros usuários em outras contas
Receber qualquer acesso aos arquivos nos dispositivos dos operadores através do JivoChat
Obter informações confidenciais sobre as contas dos operadores (e-mail, telefone, endereço de IP) sem que sejam públicos
Conseguir acesso aos sistemas internos do JivoChat (localizados em * domains.jivosite.com)
Acesso aos servidores da JivoChat, bancos de dados ou backups de bancos de dados
Vulnerabilidades intermediárias
Extrapolar permissões de acesso em uma única conta (operador-administrador)
Vulnerabilidades que requerem que o usuário seja convencido de realizar certas ações em sites ou aplicativos de terceiros
Vulnerabilidades que não fazem parte do programa
Falta de proteção ou concordância com recomendações de segurança sem um cenário específico de abuso
Mensagens de rastreadores de segurança
Relatórios de vulnerabilidade baseados em versões do produto ou protocolos sem exibir qualquer vulnerabilidade que pode ser abusada
Sobrecapacidade da caixa de entrada dos operadores com mensagens de Spam ou ligações
Brecha de acesso à sua conta após o compartilhamento do dispositivo físico usado para acessá-la
Exposição de dados públicos dos operadores (nome e foto escolhidos)
Receber acesso aos recursos pagos sem uma licença
Enumeração do e-mail do usuário através de ataques de força bruta. Receber uma lista de e-mails de usuários sem ataques de força bruta no escopo.
Conseguir autorização suficiente para poder delegar clientes ou acessar chats de clientes, relatórios, etc, dentro da mesma conta. Acesso não autorizado aos chats em grupo no escopo da mesma conta.
Termos e condições
Apenas vulnerabilidades em aplicativos da JivoChat, janela de chat e contas de parceiros serão consideradas. Não vamos considerar vulnerabilidades ou bugs que usam o nosso chat ao vivo. Além disso, não recomendamos que busque vulnerabilidades em outros sites a não ser que seja convidado a fazê-lo.
Vulnerabilidades de plugins de CMS e outros aplicativos de terceiro só serão considerados se pertencerem ao JivoChat.
Nós não consideramos DoS (Denial of Service) uma vulnerabilidade e pedimos que não use ferramentas para testá-los em nossos servidores.
Uma recompensa por qualquer vulnerabilidade só pode ser paga à primeira pessoa a reportá-la. Por isso, inclua tudo que pedimos acima ao nos escrever sobre uma vulnerabilidade.
A recompensa é proporcional a quão crítica a vulnerabilidade denunciada é, mediante os detalhes e exemplos listados acima.
Durante a pesquisa, pedimos que você use contas de teste e não tome ações que possam prejudicar outros usuários e violar a sua privacidade.
Precisaremos de até 14 dias úteis para avaliar a sua mensagem.
As recompensas só podem ser pagas via PayPal. Além disso, podemos conceder a você uma licença generosa para usar o JivoChat.
Reservamos o direito de recusar o pagamento de qualquer recompensa, assim como de modificar os termos desse programa sem aviso prévio.
A divulgação ou compartilhamento de vulnerabilidades por qualquer meio diferente do e-mail security@jivosite.com representa descumprimento dos termos do programa. Sendo assim, nessa situação, nós não pagaremos qualquer recompensa.