Richtlinien für das Programm für verantwortungsvolle Offenlegung

Bei Revolut hat die Sicherheit der Daten unserer Nutzer oberste Priorität. Der Zweck dieser Seite (das „Programm für verantwortungsvolle Offenlegung“) ist es, dir alle Informationen zur Verfügung zu stellen, die du benötigst, wenn du eine potenzielle Schwachstelle in einem unserer Dienste entdeckt hast oder glaubst, entdeckt zu haben. Wir verpflichten uns, Sicherheit zu unserer obersten Priorität zu machen, und schätzen die Hilfe unserer Community bei der Erfüllung dieses Ziels. Um sicherzustellen, dass alle Offenlegungen verantwortungsbewusst erfolgen, halte bitte unbedingt die folgenden Geschäftsbedingungen ein:

  • Alle Einreichungen müssen über das Formular am Ende dieser Seite eingereicht werden.
  • Bitte achte darauf, dass alle Offenlegungen so schnell wie möglich erfolgen. Dies hilft nicht nur, Sicherheitsprobleme rechtzeitig zu lösen, sondern trägt auch dazu bei, dass du gegebenenfalls als Erster eine Belohnung erhältst!
  • Alle Belohnungen werden in Form von HackerOne-Reputationspunkten vergeben und von HackerOne in Übereinstimmung mit deren allgemeinen Geschäftsbedingungen verwaltet.
  • Öffentliche Offenlegungen von Schwachstellen (z. B. über soziale Medien oder die Presse) können unsere Community gefährden. Achte also bitte auf vertrauliche Behandlung. Alle Offenlegungen sollten in Übereinstimmung mit diesem Programm zur verantwortungsvollen Offenlegung erfolgen, damit wir uns so schnell wie möglich auf die Lösung von Problemen konzentrieren können. Wir behalten uns das Recht vor, rechtliche Schritte einzuleiten oder Belohnungen einzubehalten, wenn dies nicht befolgt wird.
  • Wenn du eine Schwachstelle entdeckst und in den Besitz von personenbezogenen Daten über Kunden oder Mitarbeiter von Revolut gelangst, musst du sicherstellen, dass diese gelöscht werden, sobald du die Offenlegung über das untenstehende Formular vorgenommen hast. Personenbezogene Daten sind alle Informationen, die zur Identifizierung einer Person verwendet werden können.
  • Keine der Recherchen, die du im Zusammenhang mit der Meldung einer Schwachstelle durchgeführt hast, darf durch ungesetzliche Mittel erfolgt sein.

Häufig gestellte Fragen

Was darf ich nicht melden?
- Sender Policy Framework (SPF), DKIM- und DMARC-Konfigurationsvorschläge - Offenlegung bekannter öffentlicher Dateien oder Verzeichnisse (z. B. robots.txt) - Banner-Offenlegung auf gängigen/öffentlichen Diensten ohne PoC - Sicherheits-Header-Konfigurationen oder fehlender Header - Fehlen von Secure/HTTPOnly-Kennzeichen bei nicht sensiblen Cookies - Phishing- oder Social-Engineering-Angriffe
Gibt es eine Belohnung?
Nach der Validierung durch HackerOne erhältst du die auf dieser Seite aufgeführten HackerOne-Reputationspunkte: https://docs.hackerone.com/hackers/reputation.html
Wann höre ich von euch, nachdem ich etwas offengelegt habe?
Deine Einreichung wird innerhalb von 72 Stunden bestätigt. Die Offenlegung muss dann validiert werden, woraufhin du in der Regel innerhalb von 5 Werktagen erneut kontaktiert wirst.
Darf ich nach meiner Offenlegung etwas über die Schwachstelle veröffentlichen?
Wir bitten dich, alle Angaben vertraulich zu behandeln, um unsere Community bestmöglich zu schützen. Bei weiteren Fragen dazu wende dich bitte an HackerOne unter support@hackerone.com

Schwachstellenbericht einreichen