Richtlinien für das Programm für verantwortungsvolle Offenlegung
Bei Revolut hat die Sicherheit der Daten unserer Nutzer*innen oberste Priorität. Der Zweck dieser Seite (das „Programm für verantwortungsvolle Offenlegung“) ist es, dir alle Informationen zur Verfügung zu stellen, die du benötigst, wenn du eine potenzielle Schwachstelle in einem unserer Dienste entdeckt hast oder glaubst, entdeckt zu haben. Wir verpflichten uns sicherzustellen, dass sich unsere Sicherheit stets auf dem höchstmöglichen Niveau befindet und schätzen die Hilfe unserer Gemeinschaft bei der Erfüllung dieses Ziels. Um sicherzustellen, dass alle Offenlegungen verantwortungsbewusst erfolgen, halte bitte unbedingt die folgenden Geschäftsbedingungen ein:
- Alle Einreichungen sollten über die Intigriti-Plattform erfolgen. Du musst dich über den Link am Ende dieser Seite auf der Plattform registrieren.
- Bitte stelle sicher, dass alle Meldungen so schnell wie möglich gemacht werden. Dies hilft nicht nur dabei, Sicherheitsprobleme rechtzeitig zu lösen, sondern stellt auch sicher, dass du der/die Erste bist, der/die eine Belohnung erhält (falls zutreffend)!
- Alle Belohnungen werden in Form von Intigriti-Reputationspunkten vergeben und von Intigriti in Übereinstimmung mit den Allgemeinen Geschäftsbedingungen von Intigriti verwaltet. Weitere Informationen findest du hier - https://kb.intigriti.com/en/articles/3379630-leaderboard-reputation-and-streak.
- Die öffentliche Bekanntgabe von Schwachstellen (z. B. über soziale Medien oder die Presse) kann unsere Gemeinschaft gefährden, daher solltest du dies vertraulich behandeln. Alle Meldungen sollten in Übereinstimmung mit diesem Programm zur verantwortungsvollen Offenlegung erfolgen, damit wir uns darauf konzentrieren können, alle Probleme so schnell wie möglich zu lösen. Wir behalten uns das Recht vor, rechtliche Schritte einzuleiten oder Belohnungen zu verweigern, wenn dies nicht befolgt wird.
- Wenn du eine Sicherheitslücke entdeckst und in den Besitz personenbezogener Daten von Revolut Kund*innen oder Mitarbeiter*innen gelangst, musst du sicherstellen, dass diese gelöscht werden, sobald du die Meldung über das unten stehende Formular gemacht hast. Personenbezogene Daten sind alle Informationen, die zur Identifizierung einer Person verwendet werden können.
- Keine der Recherche, die du bei der Meldung einer Sicherheitslücke angestellt hast, sollte durch unrechtmäßige Mittel erfolgt sein.
Häufig gestellte Fragen
- Sender Policy Framework (SPF), DKIM- und DMARC-Konfigurationsvorschläge
- Offenlegung bekannter öffentlicher Dateien oder Verzeichnisse (z. B. robots.txt)
- Banner-Offenlegung auf gängigen/öffentlichen Diensten ohne PoC
- Sicherheits-Header-Konfigurationen oder fehlender Header
- Fehlen von Secure/HTTPOnly-Kennzeichen bei nicht sensiblen Cookies - Phishing- oder Social-Engineering-Angriffe
- Sobald du von Intigriti validiert wurdest, erhältst du Intigriti-Reputationspunkte, wie auf dieser Seite erklärt: https://kb.intigriti.com/en/articles/3379630-leaderboard-reputation-and-streak
- Deine Einreichung wird innerhalb von 72 Stunden bestätigt. Die Offenlegung muss dann validiert werden, woraufhin du in der Regel innerhalb von 5 Werktagen erneut kontaktiert wirst.
- Wir bitten dich, alle Informationen vertraulich zu behandeln, um unsere Gemeinschaft bestmöglich zu schützen. Dies entspricht den AGB für Forschende von Intigriti - https://kb.intigriti.com/en/articles/5466165-researcher-terms-conditions. Wenn du dazu weitere Fragen hast, kontaktiere bitte Intigriti unter [email protected]