Politique du programme de divulgation responsable

Général

Chez Revolut, la sécurité des données de nos utilisateurs est notre priorité. Le but de cette page (le « Programme de divulgation responsable ») est de vous fournir toutes les informations dont vous avez besoin si vous avez découvert ou pensez avoir découvert la possible vulnérabilité de l’un de nos services.

Nous nous engageons à assurer notre sécurité au plus haut niveau et apprécions vraiment l’aide de notre communauté pour y parvenir. Pour vous assurer que toute divulgation est faite de manière responsable, veuillez vous assurer de suivre les conditions ci-dessous :

  • Toutes les demandes doivent être effectuées à l’aide du formulaire en bas de cette page.
  • Veuillez vous assurer de toute divulgation est faite immédiatement. Non seulement cela vous aidera à résoudre les problèmes de sécurité en temps opportun, mais vous assurera que vous êtes le premier à obtenir une récompense (le cas échéant) !
  • Toutes les récompenses seront sous forme de points BugCrowd et gérées par BugCrowd conformément aux présentes conditions générales.
  • La divulgation publique de toute vulnérabilité (par exemple, via les réseaux sociaux ou la presse) peut mettre notre communauté en danger, alors assurez-vous de la garder confidentielle. Toutes les divulgations doivent être faites conformément à ce programme de divulgation responsable, afin que nous puissions nous concentrer sur la résolution de tout problème dès que possible. Nous nous réservons le droit d’intenter une action en justice ou de refuser des récompenses si ces directives ne sont pas suivies.
  • Si vous découvrez une vulnérabilité et que vous entrez en possession de données personnelles concernant les clients ou les employés de Revolut, vous devez vous assurer que celles-ci sont supprimées dès que vous avez fait la divulgation via le formulaire ci-dessous. Les données personnelles correspondent à toutes les informations qui peuvent être utilisées pour identifier une personne.
  • Aucune des recherches que vous avez entreprises pour signaler une vulnérabilité ne doit être obtenue par des moyens illégaux, tels que :
    • accéder ou tenter d’accéder à des comptes ou des données qui ne vous appartiennent pas ;
    • essayer d’utiliser des logiciels malveillants, des virus ou des logiciels nuisibles similaires
    • envoyer des courriers indésirables non sollicités.

FAQ

  1. Que ne dois-je pas signaler ?
    • Le Sender Policy Framework (SPF), les suggestions de configuration DKIM et DMARC
    • La divulgation de fichiers ou de répertoires publics connus (par exemple, robots.txt)
    • La divulgation de bannière sur les services communs/publics sans PoC
    • Les configurations d’en-tête de sécurité ou en-tête manquant
    • Le manque de signalements Secure/HTTPOnly sur les cookies non sensibles
    • Les attaques par hameçonnage ou ingénierie sociale
  2. Reçoit-on une récompense ?

    Une fois validée par BugCrowd, vous recevrez des points BugCrowd comme mentionné sur cette page : https://researcherdocs.bugcrowd.com/docs/getting-rewarded.
  3. Quand me contacterez-vous une fois la divulgation effectuée ?

    Votre recevrez un accusé de réception sous 72 heures. Une fois la divulgation validée, vous serez recontacté sous cinq jours ouvrables en général.
  4. Puis-je faire une publication concernant la vulnérabilité après avoir effectué ma divulgation ?

    Nous demandons que tous les détails restent confidentiels pour mieux protéger notre communauté. Si vous avez d’autres questions à ce sujet, veuillez contacter BugCrowd à support@bugcrowd.com.

Formulaire de divulgation responsable