Помогите Jivo найти ошибки

Расскажите о наших уязвимостях в обмен на благодарность и вознаграждение
Мы периодически ошибаемся. И призываем вас сообщить о наших ошибках. Пришлите письмо на security@jivochat.com и укажите:
  • описание уязвимости
  • шаги для эксплуатации уязвимости
  • имя и ссылку на профиль для публичной благодарности (если хотите)
Вознаграждение до $300
Мы протестируем ошибку и ответим вам в течение 14 рабочих дней.
В зависимости от критичности уязвимости вы получите вознаграждение в размере от 30 до 300 долларов.
Что и где искать?
Наши основные приложения:
Это не полный список, мы рассмотрим любые обращения, касающиеся наших приложений и доменов *.jivosite.com *.jivochat.com *.jivochat.com.br и прочих.
Критичные уязвимости
  • Получение доступа к переписке, списку клиентов других аккаунтов, записям вызовов, переданным файлам
  • Изменение настроек других аккаунтов или удаление данных в других аккаунтах
  • Получение какого-либо доступа к файлам на устройстве оператора через приложения Jivo
  • Получение конфиденциальной информации об операторах аккаунта (email, телефон, ip-адрес) без учетной записи в этом аккаунте (деанонимизация оператора)
  • Получение доступа к внутренним системам Jivo (они находятся на доменах *.jivosite.com)
  • Получение доступа к серверам, базам данных Jivo или к резервным копиям базы данных
Средняя критичность
  • Повышение привилегий в рамках одного аккаунта (оператор-администратор)
  • Уязвимости, для эксплуатации которых потребуется убедить пользователя совершать определенные действия в приложении или на посторонних сайтах
Уязвимости,
которые нас не интересуют
  • Отсутствие защиты или несоответствия рекомендациям (security best practices) без конкретного сценария эксплуатации
  • Сообщения от сканеров безопасности
  • Сообщения об уязвимостях, основанные на версиях продукта / протокола без демонстрации уязвимости
  • Переполнение Inbox операторов спам сообщениями или звонками
  • Получение доступа к данным аккаунта при условии физического доступа к разблокированному устройству оператора
  • Получение заведомо открытых данных оператора (аватар и имя на сайте)
  • Получение доступа к премиум-функциям без лицензии
  • Перебор адресов электронной почты пользователей. Получение списка адресов почты без перебора входит в программу Bug Bounty.
  • Обход оператором без прав администратора разграничения доступа к назначению клиентов, чатам с клиентами, статистике и т. п. внутри своего аккаунта. Обход доступа к командным чатам внутри аккаунта входит в BugBounty.
Условия программы
  • Рассматриваются только уязвимости в приложениях Jivo, окне чата, партнерском кабинете. Мы не будем рассматривать уязвимости и баги на сайтах, которые установили себе наш чат. Более того, мы не рекомендуем искать уязвимости на этих сайтах, кроме случаев когда они сами приглашают это сделать.
  • Уязвимости в плагинах CMS и других сторонних систем будут рассматриваться, только если они принадлежат Jivo.
  • Мы не рассматриваем уязвимости DoS (отказ в обслуживании) и просим вас не использовать инструменты нагрузочного тестирования на наших серверах.
  • Вознаграждение за уязвимость может быть выплачено только первому, сообщившему о ней. О том, что нужно включить в отчёт, написано выше.
  • Вознаграждение пропорционально критичности уязвимости (более подробно о том, что считаем критичным — см. выше).
  • При исследовании мы просим вас использовать собственные тестовые аккаунты и не предпринимать действий, которые могут навредить другим пользователям или нарушить их конфиденциальность.
  • На анализ сообщения нам потребуется до 14 рабочих дней.
  • Мы можем выплатить вознаграждение только на PayPal. Кроме того, мы можем публично поблагодарить вас на странице на нашем сайте и/или предоставить щедрую лицензию на использование Jivo.
  • Мы оставляем за собой право отказать в выплате вознаграждения по нашему усмотрению, а также модифицировать условия программы или отменить ее без предупреждения.