Intercom, sebuah customer platform messaging luncurkan sebuah program bug bounty pada tanggal 16 Februari kemarin. Tujuannya untuk melaksanakan siklus pengembangan yang aman dan melindungi data pelanggan. Intercom percaya bahwa program ini adalah salah satu cara terbaik untuk mengatasi masalah.
Program bug bounty intercom akan memberikan hadiah berupa uang hingga $1.500 per celah kerentanan. Tentunya disesuaikan tergantung pada dampak dan tingkat keparahan yang bisa ditimbulkan. Ruang lingkupnya meliputi segala sesuatu yang berhubungan dengan fungsi utama aplikasi Intercom, iOS dan Android SDK.
“Bisnis Intercom bergantung pada kepercayaan pelanggan. Untuk menjaga kepercayaan ini kita perlu menggunakan alat terbaik yang tersedia. Untuk menyimpan data pelanggan kami aman.” kata Thibault candebat, Information Security Manager, Intercom.
“Program private bounty bug kami dengan Bugcrowd memungkinkan kami untuk melihat kreativitas dan kemampuan ratusan peneliti keamanan. Dalam hal menemukan dan melaporkan bug yang kerentanannya tidak bisa terungkap oleh kami. Sekarang kami memperluas program kami untuk akses yang lebih besar, menjadikannya public bug bounty. Tentunya dilaksanakan untuk meningkatkan kemampuan kami menemukan dan memperbaiki kerentanan.“
Aturan Standar Program Public Bug Bounty
Aturan dapat bervariasi untuk setiap program. Bacalah Brief Program mengenai aturan khusus. Aturan-aturan ini berlaku untuk semua program:
- Penelitian harus dilakukan hanya pada sistem yang tercantum di website BugCrowd di bagian ‘Target’.
- Kecuali bila dinyatakan dalam Brief Program, Kamu harus membuat akun tes untuk tujuan penelitian.
- Pengajuan harus dilakukan secara eksklusif melalui Crowdcontrol untuk kemudian dipertimbangkan hadiahnya.
- Komunikasi mengenai pengajuan harus tetap dalam Crowdcontrol atau saluran dukungan resmi Bugcrowd selama proses pengungkapan.
- Tindakan yang mempengaruhi integritas atau ketersediaan sasaran program dilarang keras. Jika Anda melihat penurunan kinerja pada sistem sasaran, Anda harus segera menghentikan semua penggunaan tools otomatis.
- Kiriman harus memiliki dampak terhadap keamanan target. Dampak berarti masalah yang dilaporkan mempengaruhi pengguna, sistem, atau keamanan data target dalam cara yang berarti. Menyerahkan kerentanan untuk memperkecil dampaknya dalam rangka memenuhi syarat untuk hadiah.
- Kiriman bisa ditolak jika seorang peneliti tidak responsif terhadap permintaan informasi setelah 14 hari.
- Keberadaan atau rincian dari program pribadi atau undangan tidak harus dikomunikasikan kepada siapa saja yang bukan karyawan Bugcrowd. Ataupun kepada pegawai resmi dari organisasi yang bertanggung jawab untuk program ini.
- Kami mendorong peneliti untuk memasukkan video atau screenshot Proof-of-Concept di kiriman mereka. File-file ini tidak boleh diupload ke situs web yang bisa diakses publik (Vimeo, Imgur, dll). Sebagai gantinya platform Bugcrowd mendukung video dan gambar upload hingga 20MB. Untuk parameter meng-upload lengkap, kunjungi: https://researcherdocs.bugcrowd.com/v2.0/docs/reporting-a-bug.
- kebijakan Pengungkapan Bugcrowd berlaku untuk semua kiriman yang dibuat melalui platform Bugcrowd termasuk Duplikat dan Out of Scope. Pelanggan dapat memilih tanpa pengungkapan, pengungkapan yang terkoordinasi, atau kebijakan khusus pengungkapan yang akan diterapkan program singkat mereka. Silakan lihat Kebijakan Tambahan Pengungkapan untuk rincian tentang Kebijakan Keterbukaan Informasi Publik yang berbeda pada Bugcrowd.
- Jika seorang ingin mempertahankan hak pengungkapan kerentanannya, mereka harus melaporkan masalah tersebut ke vendor langsung. Bugcrowd dapat membantu peneliti dalam mengidentifikasi alamat email yang bisa dihubungi.
- Pelanggaran kebijakan pengungkapan program ini dapat mengakibatkan tindakan penegakan hukum yang dituangkan dalam Bugcrowd Terms of Service.
Sumber lainnya mengenai ketentuan BugCrowd :
Pelanggaran aturan ini dapat mengakibatkan pembatalan pengiriman, dan penyitaan semua imbalan. Berlaku untuk program saat ini dan masa mendatang pada platform Bugcrowd.
Untuk mempelajari lebih lanjut tentang program public bounty bug Intercom atau untuk berpartisipasi, kunjungi https://bugcrowd.com/intercom.
