Правила за програмата за отговорно разкриване

В Revolut защитата на данните на нашите потребители е наш приоритет. Целта на тази страница („Програма за отговорно разкриване“) е да ви предостави цялата необходима информация, ако сте открили или смятате, че сте открили потенциална уязвимост в някоя от нашите услуги. Ангажираме се да гарантираме, че нашата защита е от най-високо ниво, и много ценим помощта от нашата общност, за го постигнем. За да се уверите, че всички разкрития са направени отговорно, моля, следвайте условията по-долу:

  • Всички заявки трябва да бъдат подадени чрез платформата Intigriti, като трябва да се регистрирате в платформата като използвате връзката в долната част на тази страница.
  • Моля, уверете се, че всички оповестявания са направени възможно най-скоро. Това не само ще помогне за навременното разрешаване на проблемите със сигурността, но и ще гарантира, че вие първи ще получите награда (ако е приложимо)!
  • Всички награди ще бъдат под формата на точки за репутация на Intigriti и ще се управляват от Intigriti в съответствие с техните правила и условия. Повече информация можете да намерите тук – https://kb.intigriti.com/en/articles/3379630-leaderboard-reputation-and-streak.
  • Публичното разкриване на каквито и да било уязвимости (напр. чрез социалните медии или пресата) може да изложи на риск нашата общност, така че, моля, уверете се, че запазвате тази информация в тайна. Всички разкрития трябва да се правят в съответствие с тази Програма за отговорно разкриване, за да можем да се съсредоточим върху разрешаването на всички проблеми възможно най-скоро. Запазваме си правото да предприемем правни действия или да откажем награди, ако това не бъде спазено.
  • Ако все пак откриете уязвимост и се сдобиете с лични данни за клиенти или служители на Revolut, трябва да гарантирате, че те ще бъдат изтрити веднага след като направите разкриването чрез формуляра по-долу. Лични данни са всяка информация, която може да се използва за идентифициране на дадено лице.
  • Нито едно от проучванията, които сте направили при съобщаването на уязвимост, не трябва да е получено по незаконен начин.

Често задавани въпроси

Какво не трябва да докладвам?

  • Предложения за конфигурация на структурата с правила за проверка на подателя (SPF), DKIM и DMARC
  • Разкриване на известни публични файлове или директории (напр. robots.txt)
  • Разкриване на банери за общи/публични услуги без PoC
  • Конфигурации на заглавната част за защита или липсващо заглавие
  • Липса на флагове Secure/HTTPOnly за нечувствителни „бисквитки“
  • Фишинг или атаки за социално инженерство

Има ли награда?

След като бъдете потвърдени от Intigriti, ще получите точки за репутация на Intigriti, както е посочено на тази страница: https://kb.intigriti.com/en/articles/3379630-leaderboard-reputation-and-streak

Кога ще получа отговор от вас, след като направя разкритие?

Изпратеното от вас трябва да бъде прието в рамките на 72 часа. Разкритието ще трябва да бъде потвърдено, след което отново ще бъде осъществена връзка с вас обикновено в рамките на 5 работни дни.

Може ли да публикувам нещо във връзка с уязвимостта след моето разкриване?

Молим всички подробности да останат поверителни, за да защитим най-добре нашата общност. Това е в съответствие с Правилата и условията на изследователите на Intigriti – https://kb.intigriti.com/en/articles/5466165-researcher-terms-conditions. Ако имате някакви допълнителни въпроси по този въпрос, моля, свържете се с Intigriti на support@intigriti.com

Изпращане на съобщение за уязвимост

Регистрирайте тук