Richtlinien für das Programm für verantwortungsvolle Offenlegung

Allgemeines

Bei Revolut hat die Sicherheit der Daten unserer Nutzer absolute Priorität. Der Zweck dieser Seite (das „Programm für verantwortungsvolle Offenlegung“) ist es, dir alle Informationen zur Verfügung zu stellen, die du benötigst, wenn du eine potenzielle Schwachstelle in einem unserer Dienste entdeckt hast oder glaubst, entdeckt zu haben.

Wir setzen uns dafür ein, dass unsere Sicherheit oberste Priorität hat, und wissen die Hilfe unserer Gemeinschaft bei der Erreichung dieses Ziels sehr zu schätzen. Um sicherzustellen, dass alle Angaben verantwortungsbewusst gemacht werden, bitten wir Sie, die nachstehenden Bedingungen zu befolgen:

  • Alle Einreichungen müssen über das Formular am Ende dieser Seite eingereicht werden.
  • Bitte achte darauf, dass alle Angaben so schnell wie möglich gemacht werden. Dies hilft nicht nur, Sicherheitsprobleme rechtzeitig zu lösen, sondern trägt auch dazu bei, dass du gegebenenfalls als Erster eine Belohnung erhältst!
  • Alle Belohnungen werden in Form von BugCrowd-Punkten vergeben und von BugCrowd in Übereinstimmung mit deren Bedingungen und Konditionen verwaltet.
  • Die öffentliche Bekanntgabe von Schwachstellen (z. B. über soziale Medien oder die Presse) kann unsere Gemeinschaft in Gefahr bringen, daher bitten wir dich, dies vertraulich zu behandeln. Alle Offenlegungen müssen in Übereinstimmung mit diesem Programm für verantwortungsbewusste Offenlegung erfolgen, damit wir uns darauf konzentrieren können, alle Probleme so schnell wie möglich zu lösen. Wir behalten uns das Recht vor, rechtliche Schritte einzuleiten oder Belohnungen zurückzuhalten, wenn dies nicht befolgt wird.
  • Wenn du eine Schwachstelle entdeckst und in den Besitz von personenbezogenen Daten über Kunden oder Mitarbeiter von Revolut gelangst, musst du sicherstellen, dass diese gelöscht werden, sobald du die Offenlegung über das untenstehende Formular vorgenommen hast. Personenbezogene Daten sind alle Informationen, die zur Identifizierung einer Person verwendet werden können.
  • Keine der Recherchen, die du im Zusammenhang mit der Meldung einer Schwachstelle durchgeführt hast, darf durch ungesetzliche Mittel erfolgt sein, wie z. B:
    • Auf Konten oder Daten zugreifen oder versuchen, auf Konten zuzugreifen, die dir nicht gehören
    • Versuche, Malware, Viren oder ähnliche schädliche Software zu verwenden
    • Unerwünschte Spam-Nachrichten versenden

FAQ

  1. Was darf ich nicht melden?
    • Konfigurationsvorschläge von Sender Policy Framework (SPF), DKIM und DMARC
    • Offenlegung von bekannten öffentlichen Dateien oder Verzeichnissen (z. B. robots.txt)
    • Banner-Offenlegung zu gemeinsamen/öffentlichen Diensten ohne PoC
    • Sicherheitsheader-Konfigurationen oder fehlende Header
    • Fehlende Secure/HTTPOnly-Flags bei nicht-sensiblen Cookies
    • Phishing- oder Social Engineering-Angriffe
  2. Gibt es eine Belohnung?

    Nach der Validierung durch BugCrowd erhältst du BugCrowd-Punkte, wie auf dieser Seite erwähnt: https://researcherdocs.bugcrowd.com/docs/getting-rewarded.
  3. Wann höre ich von euch, nachdem ich etwas offengelegt habe?

    Deine Einreichung wird innerhalb von 72 Stunden bestätigt. Die Offenlegung muss dann validiert werden, woraufhin du in der Regel innerhalb von 5 Werktagen erneut kontaktiert wirst.
  4. Darf ich nach meiner Offenlegung etwas über die Schwachstelle veröffentlichen?

    Wir bitten darum, dass alle Einzelheiten vertraulich bleiben, um unsere Gemeinschaft bestmöglich zu schützen. Wenn du weitere Fragen dazu hast, wende dich bitte an BugCrowd unter support@bugcrowd.com.

Programm für verantwortungsvolle Offenlegung