Programa bug bounty de JivoChat:
haga dinero de nuestros errores

Reporte nuestras vulnerabilidades a cambio de nuestra gratitud y una recompensa
Sobre el programa
Nosotros también cometemos errores
Por eso le invitamos a que nos informe de nuestros errores. Envíe un email a bugbounty@jivochat.com y especifique:

1. Descripción de la vulnerabilidad
2. Pasos para aprovechar la vulnerabilidad
3. Nombre y perfil para agradecimiento publico (si lo desea)
Recompensa de hasta $300
Comprobaremos el error y le responderemos en un plazo de 14 días hábiles. Dependiendo de la gravedad de la vulnerabilidad, recibirá una recompensa de entre 30 y 300 USD.
Dónde buscar
Nuestras aplicaciones principales:
app.jivosite.com, app3.jivosite.com — versión web de la aplicación o registro.
— Aplicaciones móviles y de escritorio de la web: https://www.jivochat.es/apps
code.jivosite.com — en la ventana de chat del sitio web.
Esta no es una lista completa, tendremos en cuenta cualquier solicitud relacionada con nuestras aplicaciones y dominios *.jivosite.com *.jivochat.com *.jivochat.com.br y otros.
Qué buscar
Vulnerabilidades criticas
Obtener acceso a la correspondencia, la lista de clientes de otras cuentas, registros de llamadas, archivos transferidos
Posibilidad de cambiar la configuración de otras cuentas o eliminar datos de otras cuentas
Obtener cualquier acceso a los archivos en el dispositivo del agente a través de aplicaciones JivoChat
Obtención de información confidencial sobre los agentes de la cuenta (correo electrónico, teléfono, dirección IP) sin una cuenta en esta cuenta (desanonimización de los agentes)
Obtener acceso a los sistemas internos de JivoChat (se encuentran en * domains.jivosite.com)
Acceso a servidores JivoChat, bases de datos o copias de seguridad de bases de datos
Un critico promedio
Aumento de privilegios dentro de una misma cuenta ( agentes-administrador)
Vulnerabilidades que requieren convencer al usuario para que realice determinadas acciones en la aplicación o en sitios de terceros.
Vulnerabilidades que no nos interesan
Falta de protección o incumplimiento de las recomendaciones (buenas prácticas de seguridad) sin un escenario de utilización específico
Mensajes de escáneres de seguridad
Informes de vulnerabilidad basados en versiones de productos/protocolos sin mostrar la vulnerabilidad
Desbordamiento de la bandeja de entrada de los agentes con mensajes o llamadas de spam
Obtención de acceso a los datos de su cuenta, siempre que se tenga acceso físico al dispositivo desbloqueado del agente
Obtención de los datos públicos conocidos del agente (avatar y nombre en el sitio)
Obtención de acceso a funciones premium sin licencia
Enumeración de correos electrónicos de cuentas de usuario mediante 'fuerza bruta'. Obtener la lista de correos electrónicos de usuarios sin 'Fuerza bruta' está dentro del alcance.
Términos y
condiciones
Sólo se consideran las vulnerabilidades en las aplicaciones de JivoChat, ventana de chat, y la cuenta de afiliado. No consideraremos las vulnerabilidades y errores en los sitios que se han instalado nuestro chat en vivo. Además, no recomendamos buscar vulnerabilidades en estos sitios, excepto cuando le inviten a hacerlo.
Las vulnerabilidades en plugins CMS y otros sistemas de terceros sólo se considerarán si pertenecen a JivoChat.
No consideramos vulnerabilidades DoS (Denegación de Servicio) y te pedimos que no utilice herramientas de prueba de carga en nuestros servidores.
La recompensa por una vulnerabilidad sólo se puede pagar a la primera persona que la reporte. Lo que debe incluir en el informe está escrito más arriba.
La recompensa es proporcional a la criticidad de la vulnerabilidad (más arriba se dan más detalles sobre lo que consideramos crítico).
Durante la investigación, le pedimos que utilice sus cuentas de prueba y que no realice acciones que puedan perjudicar a otros usuarios o violar su privacidad.
Tardaremos hasta 14 días hábiles en analizar el mensaje.
Solo podemos pagar recompensas a través de PayPal. Además, podemos otorgarle una licencia generosa para utilizar JivoChat.
Nos reservamos el derecho a rechazar el pago de la remuneración a nuestra discreción, así como a modificar los términos del programa o cancelarlo sin previo aviso.
La divulgación o reporte de vulnerabilidades que no sean hechas a través de security@jivosite.com constituye una infracción de las condiciones del programa. En tales casos, no pagamos recompensa alguna.