Zásady programu odpovědného zpřístupnění informací
V Revolutu je bezpečnost dat našich uživatelů naší prioritou. Účelem této stránky (Program odpovědného zpřístupnění informací) je poskytnout vám všechny informace, které potřebujete, pokud jste objevili nebo se domníváte, že jste objevili potenciální slabé místo v jakékoli z našich služeb. Jsme odhodláni zajistit, aby naše bezpečnost byla na nejvyšší úrovni, a opravdu oceňujeme pomoc naší komunity k dosažení tohoto cíle. Abyste se ujistili, že jakékoli zveřejnění bude provedeno zodpovědně, ujistěte se, že dodržujete níže uvedené podmínky:
- Všechna podání zasílejte prostřednictvím platformy Intigriti, na které se musíte zaregistrovat pomocí odkazu ve spodní části této stránky.
- Ujistěte se prosím, že jakékoli nahlášení je provedeno co nejdříve. Nejen, že to pomůže včas vyřešit problémy se zabezpečením, ale pomůže to zajistit, že budete první, kdo dostane jakoukoli odměnu (pokud se na vás vztahuje)!
- Všechny odměny budou ve formě reputačních bodů Intigriti a budou spravovány v souladu s jejich smluvními podmínkami. Více informací naleznete zde https://kb.intigriti.com/en/articles/3379630-leaderboard-reputation-and-streak.
- Veřejné nahlášení jakýchkoli zranitelných míst (např. prostřednictvím sociálních médií nebo tisku) může naši komunitu ohrozit, proto se prosím ujistěte, že toto uchováváte v tajnosti. Všechna zveřejnění by měla být provedena v souladu s tímto Programem odpovědného zpřístupnění informací, abychom se mohli co nejdříve zaměřit na vyřešení jakýchkoli problémů. Pokud toto nebude dodrženo, vyhrazujeme si právo podniknout právní kroky nebo zadržet odměny.
- Pokud objevíte zranitelné místo a získáte osobní údaje o zákaznících nebo zaměstnancích Revolut, musí být zajištěno, aby byly tyto citlivé informace odstraněny (jakmile to sdělíte prostřednictvím formuláře níže). Osobní údaje jsou jakékoli informace, které lze použít k identifikaci jednotlivce.
- Žádný z průzkumů, které jste provedli při nahlášení chyby zabezpečení by neměl být získán nezákonnými prostředky.
Nejčastější dotazy
Co bych neměl hlásit?
- Návrhy konfigurace pro Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) a Domain-based Message Authentication (DMARC)
- Zpřístupnění známých veřejných souborů nebo adresářů (např. robots.txt)
- Zveřejnění běžných/veřejných služeb bez PoC
- Konfigurace hlavičky zabezpečení nebo chybějící hlavička
- Absence protokolu bezpečnosti/HTTPOnly označení na necitlivých souborech cookies - Útoky ve formě phishing nebo sociálního inženýrství
Mohu získat odměnu?
Po potvrzení ze strany Intigriti obdržíte od Intigriti body za reputaci, jak je uvedeno na této stránce: https://kb.intigriti.com/en/articles/3379630-leaderboard-reputation-and-streak.
Kdy mě, po mém nahlášení, budete kontaktovat?
Vaše podání by mělo být potvrzeno do 72 hodin. Nahlášení je poté nutno potvrdit, o čemž vás obvykle kontaktujeme do 5 pracovních dnů.
Mohu po mém nahlášení zveřejnit informace o nedostatcích?
Požadujeme, aby veškeré podrobnosti zůstaly důvěrné, abychom co nejlépe ochránili naši komunitu. To je v souladu s podmínkami a ujednáními pro výzkumné pracovníky společnosti Intigriti - https://kb.intigriti.com/en/articles/5466165-researcher-terms-conditions. Pokud máte k tomuto tématu jakékoli další dotazy, kontaktujte prosím společnost Intigriti na e-mailu support@intigriti.com.