Zásady programu odpovědného zpřístupnění informací

V Revolutu je bezpečnost dat našich uživatelů naší prioritou. Účelem této stránky ("Program odpovědného zpřístupnění informací") je poskytnout vám všechny informace, které potřebujete, pokud jste objevili nebo se domníváte, že jste objevili potenciální zranitelnost v jakékoli z našich služeb. Jsme odhodláni zajistit, aby naše bezpečnost byla na nejvyšší úrovni, a opravdu oceňujeme pomoc naší komunity k dosažení tohoto cíle. Abyste se ujistili, že jakékoli zveřejnění bude provedeno zodpovědně, ujistěte se, že dodržujete níže uvedené podmínky:

  • Všechna podání zasílejte prostřednictvím formuláře ve spodní části této stránky.
  • Ujistěte se prosím, že jakékoli nahlášení je provedeno co nejdříve. Nejen, že to pomůže včas vyřešit problémy se zabezpečením, ale pomůže to zajistit, že budete první, kdo dostane jakoukoli odměnu (pokud je to možné)!
  • Všechny odměny budou ve formě reputačních bodů HackerOne a budou spravovány v souladu s jejich smluvními podmínkami.
  • Veřejné nahlášení jakýchkoli zranitelných míst (např. prostřednictvím sociálních médií nebo tisku) může naši komunitu ohrozit, proto se prosím ujistěte, že toto uchováváte v tajnosti. Všechna zveřejnění by měla být provedena v souladu s tímto Programem odpovědného zpřístupnění informací, abychom se mohli co nejdříve zaměřit na vyřešení jakýchkoli problémů. Pokud toto nebude dodrženo, vyhrazujeme si právo podniknout právní kroky nebo zadržet odměny.
  • Pokud objevíte zranitelné místo a získáte osobní údaje o zákaznících nebo zaměstnancích Revolut, musí být zajištěno, aby byly tyto citlivé informace odstraněny (jakmile to sdělíte prostřednictvím formuláře níže). Osobní údaje jsou jakékoli informace, které lze použít k identifikaci jednotlivce.
  • Žádný z průzkumů, které jste provedli při nahlášení chyby zabezpečení by neměl být získán nezákonnými prostředky.

Nejčastější dotazy

Co bych neměl hlásit?
- Návrhy konfigurace pro Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) a Domain-based Message Authentication (DMARC) - Zpřístupnění známých veřejných souborů nebo adresářů (např. robots.txt) - Zveřejnění běžných/veřejných služeb bez PoC - Konfigurace hlavičky zabezpečení nebo chybějící hlavička - Absence protokolu bezpečnosti/HTTPOnly označení na necitlivých souborech cookies - Útoky ve formě phishing nebo sociálního inženýrství
Mohu získat odměnu?
Poté, co HackerOne ověří vaše podání, obdržíte reputační body tak, jak je uvedeno na této stránce: https://docs.hackerone.com/hackers/reputation.html
Kdy mě, po mém nahlášení, budete kontaktovat?
Vaše podání by mělo být potvrzeno do 72 hodin. Nahlášení je poté nutno potvrdit, o čemž vás obvykle kontaktujeme do 5 pracovních dnů.
Mohu po mém nahlášení zveřejnit informace o nedostatcích?
Žádáme, aby veškeré údaje zůstaly důvěrné, abychom co nejlépe chránili naši komunitu. Máte-li k tomu další otázky, kontaktujte prosím HackerOne na adrese support@hackerone.com

Zpráva o zranitelnosti zákazníka