Politique du programme de divulgation responsable

Chez Revolut, la sécurité des données de nos utilisateurs est notre priorité. Le but de cette page (le « Programme de divulgation responsable ») est de vous fournir toutes les informations dont vous avez besoin si vous avez découvert ou pensez avoir découvert la possible vulnérabilité de l’un de nos services. Nous nous engageons à garantir que notre sécurité soit de premier plan et apprécions vraiment l’aide de notre communauté pour y parvenir. Pour vous assurer que toutes les divulgations sont faites de manière responsable, veuillez vous assurer de suivre les conditions ci-dessous :

  • Toutes les demandes doivent être effectuées à l’aide du formulaire en bas de cette page.
  • Veuillez vous assurer que toutes les divulgations sont faites dès que possible. Non seulement cela nous aidera à résoudre les problèmes de sécurité en temps opportun, cela vous assurera également d'être le premier à recevoir une récompense (si applicable) !
  • Toutes les récompenses seront sous forme de points HackerOne et seront gérées par HackerOne conformément aux présentes conditions générales.
  • Les divulgations publiques de vulnérabilité (par ex. via les réseaux sociaux ou la presse) peuvent mettre notre communauté en danger. Veuillez donc vous assurer de garder cette information confidentielle. Toutes les divulgations doivent être effectuées conformément au Programme de divulgation responsable afin que nous puissions nous concentrer sur la résolution de tout problème dès que possible. Nous nous réservons le droit d’intenter une action en justice ou de refuser l'attribution de récompenses si ce programme n’est pas suivi.
  • Si vous découvrez une vulnérabilité et que vous entrez en possession de données personnelles concernant les clients ou les employés de Revolut, vous devez vous assurer que celles-ci sont supprimées dès que vous avez transmis la divulgation via le formulaire ci-dessous. Les données personnelles correspondent à toutes les informations qui peuvent être utilisées pour identifier une personne.
  • Aucune des recherches que vous avez entreprises pour signaler une vulnérabilité ne doit être obtenue par des moyens illégaux.

Foire aux questions

Que ne dois-je pas signaler ?
-Suggestions de configuration du Sender Policy Framework (SPF), DKIM et DMARC -Divulgation de fichiers ou de répertoires publics connus (par ex. robots.txt) -Divulgation de bannières sur les services communs/publics sans PoC -Configurations d’en-tête de sécurité ou en-tête manquant -Absence de drapeaux sécurisés/HTTPOnly sur les cookies non sensibles -Phishing ou attaques d’ingénierie sociale
Reçoit-on une récompense ?
Une fois validé par HackerOne, vous recevrez des points de réputation HackerOne comme mentionné sur cette page : https://docs.hackerone.com/hackers/reputation.html
Quand me contacterez-vous une fois la divulgation effectuée ?
Vous recevrez un accusé de réception sous 72 heures. Une fois la divulgation validée, vous serez recontacté sous cinq jours ouvrables en général.
Puis-je faire une publication concernant la vulnérabilité après avoir effectué ma divulgation ?
Nous demandons à ce que tous les détails restent confidentiels afin de protéger au mieux notre communauté. Si vous avez d’autres questions à ce sujet, veuillez contacter HackerOne à l’adresse support@hackerone.com

Envoyez un rapport de vulnérabilité