Правила за програмата за отговорно разкриване
В Revolut защитата на данните на нашите потребители е наш приоритет. Целта на тази страница („Програма за отговорно разкриване“) е да ви предостави цялата необходима информация, ако сте открили или смятате, че сте открили потенциална уязвимост в някоя от нашите услуги. Ангажираме се да гарантираме, че нашата защита е от най-високо ниво, и много ценим помощта от нашата общност, за го постигнем. За да се уверите, че всички разкрития са направени отговорно, моля, следвайте условията по-долу:
- Всички заявки трябва да бъдат подадени чрез платформата Intigriti, като трябва да се регистрирате в платформата като използвате връзката в долната част на тази страница.
- Моля, уверете се, че всички оповестявания са направени възможно най-скоро. Това не само ще помогне за навременното разрешаване на проблемите със сигурността, но и ще гарантира, че вие първи ще получите награда (ако е приложимо)!
- Всички награди ще бъдат под формата на точки за репутация на Intigriti и ще се управляват от Intigriti в съответствие с техните правила и условия. Повече информация можете да намерите тук – https://kb.intigriti.com/en/articles/3379630-leaderboard-reputation-and-streak.
- Публичното разкриване на каквито и да било уязвимости (напр. чрез социалните медии или пресата) може да изложи на риск нашата общност, така че, моля, уверете се, че запазвате тази информация в тайна. Всички разкрития трябва да се правят в съответствие с тази Програма за отговорно разкриване, за да можем да се съсредоточим върху разрешаването на всички проблеми възможно най-скоро. Запазваме си правото да предприемем правни действия или да откажем награди, ако това не бъде спазено.
- Ако все пак откриете уязвимост и се сдобиете с лични данни за клиенти или служители на Revolut, трябва да гарантирате, че те ще бъдат изтрити веднага след като направите разкриването чрез формуляра по-долу. Лични данни са всяка информация, която може да се използва за идентифициране на дадено лице.
- Нито едно от проучванията, които сте направили при съобщаването на уязвимост, не трябва да е получено по незаконен начин.
Често задавани въпроси
- Предложения за конфигурация на структурата с правила за проверка на подателя (SPF), DKIM и DMARC
- Разкриване на известни публични файлове или директории (напр. robots.txt)
- Разкриване на банери за общи/публични услуги без PoC
- Конфигурации на заглавната част за защита или липсващо заглавие
- Липса на флагове Secure/HTTPOnly за нечувствителни „бисквитки“
- Фишинг или атаки за социално инженерство
- След като бъдете потвърдени от Intigriti, ще получите точки за репутация на Intigriti, както е посочено на тази страница: https://kb.intigriti.com/en/articles/3379630-leaderboard-reputation-and-streak
- Изпратеното от вас трябва да бъде прието в рамките на 72 часа. Разкритието ще трябва да бъде потвърдено, след което отново ще бъде осъществена връзка с вас обикновено в рамките на 5 работни дни.
- Молим всички подробности да останат поверителни, за да защитим най-добре нашата общност. Това е в съответствие с Правилата и условията на изследователите на Intigriti – https://kb.intigriti.com/en/articles/5466165-researcher-terms-conditions. Ако имате някакви допълнителни въпроси по този въпрос, моля, свържете се с Intigriti на [email protected]