Правила за програмата за отговорно разкриване

В Revolut защитата на данните на нашите потребители е наш приоритет. Целта на тази страница („Програма за отговорно разкриване“) е да ви предостави цялата необходима информация, ако сте открили или мислите, че сте открили потенциална уязвимост в някоя от нашите услуги. Ангажирани сме с това да гарантираме, че нашата защита е от топ ниво, и много ценим помощта от нашата общност, за го постигнем. За да се уверите, че всички разкривания се извършват по отговорен начин, следвайте долуизброените условия:

  • Всички предложения трябва да бъдат направени чрез формуляра в долната част на тази страница.
  • Уверете се, че всички разкрития са направени възможно най-скоро. Това не само ще помогне за своевременно разрешаване на проблеми със защитата, но също ще гарантира, че вие първи ще получите награда (ако е приложимо)!
  • Всички награди ще бъдат под формата на точки за репутация на HackerOne и ще се управляват от HackerOne в съответствие с техните правила и условия.
  • Публичното разкриване на всякакви уязвимости (например чрез социалните мрежи или пресата) може да изложи нашата общност на риск, така че се уверете, че пазите тази информация в тайна. Всички разкрития трябва да бъдат направени в съответствие с настоящата програма за отговорно разкриване, за да можем да се съсредоточим върху разрешаването на всякакви проблеми възможно най-скоро. Ние си запазваме правото да предприемаме правни действия или да откажем отпускането на награди, ако това не се спазва.
  • Ако откриете уязвимост и попаднете на лични данни на клиенти или служители на Revolut, трябва да ги изтриете веднага щом направите разкриването чрез формуляра по-долу. Личните данни представляват всякаква информация, която може да се използва за идентифициране на дадено лице.
  • Нито едно от изследванията, които сте предприели при докладване на уязвимост, не би трябвало да е получено по незаконен начин.

Често задавани въпроси

Какво не трябва да докладвам?
– Предложения за конфигурация на структурата с правила за проверка на изпращача (SPF), DKIM и DMARC – Разкриване на известни публични файлове или директории (напр. robots.txt) – Разкриване на банери за общи/публични услуги без PoC – Конфигурации на заглавната част за защита или липсваща заглавка – Липса на сигурни/HTTPOnly флагове на нечувствителни бисквитки – Фишинг или атаки за социално инженерство
Има ли награда?
Веднъж преминали проверка от HackerOne, ще получите точки за репутация от HackerOne, както е заявено на следната страница: https://docs.hackerone.com/hackers/reputation.html
Кога ще получа отговор от вас, след като направя разкритие?
Изпратеното от вас трябва да бъде прието в рамките на 72 часа. Разкритието ще трябва да бъде потвърдено, след което отново ще бъде осъществена връзка с вас обикновено в рамките на 5 работни дни.
Може ли да публикувам нещо във връзка с уязвимостта след моето разкриване?
Молим всички данни да останат поверителни, за да защитим по най-добрия начин нашата общност. Ако имате допълнителни въпроси във връзка с това, се свържете с HackerOne на support@hackerone.com

Изпращане на съобщение за уязвимост