Policy del programma di responsible disclosure

Per noi di Revolut, la sicurezza dei dati dei nostri utenti è fondamentale. L'obiettivo di questa pagina (il "Programma di Responsible Disclosure") è quello di fornirti tutte le informazioni necessarie se hai scoperto o se credi di aver scoperto una potenziale vulnerabilità in uno dei nostri servizi. Ci impegniamo a fornire una sicurezza di massimo livello e apprezziamo l'aiuto della nostra community per ottenerla. Per assicurarti di presentare una disclosure in maniera responsabile, segui i termini presentati qui sotto:

  • Tutte le richieste devono essere effettuate tramite il modulo in fondo a questa pagina.
  • Assicurati di presentare la disclosure il prima possibile. Questo aiuterà a risolvere le questioni di sicurezza in tempo e ad assicurarti un premio (laddove disponibile)!
  • Tutti i premi saranno erogati in punti reputazione HackerOne e gestiti da HackerOne in conformità con i loro termini e condizioni.
  • Disclosure pubbliche di vulnerabilità (attraverso le reti sociali o la stampa) possono mettere a rischio la nostra comunità, quindi ti chiediamo di rispettare la confidenzialità. Tutte le disclosure dovrebbero essere effettuate in conformità con il Programma di Responsible Disclosure, in modo da poterci concentrare sulla risoluzione tempestiva dei problemi. Ci riserviamo il diritto di adire le vie legali o negare premi nel caso in cui ciò non venisse seguito.
  • Se scopri una vulnerabilità ed entri in possesso di dati personali di clienti o dipendenti Revolut, devi assicurarti di cancellarli non appena hai presentato la disclosure tramite il modulo sotto. I dati personali sono le informazioni che permettono di identificare un individuo.
  • Nessuna delle ricerche intraprese per riportare una vulnerabilità devono essere illegali.

Domande frequenti

Che cosa non devo riportare?
- Suggerimenti di configurazione di Sender Policy Framework (SPF), DKIM e DMARC - Disclosure di documenti o directory pubblici (ad esempio robots.txt) - Banner disclosure in servizi di uso corrente/pubblici senza PoC - Impostazioni dell'intestazione di sicurezza o intestazione mancante - Mancanza di flag Secure/HTTPOnly o cookies - Attacchi di Phishing o Social Engineering
È previsto un premio?
Una volta validata da HackerOne, riceverai punti di reputazione HackerOne, in conformità con quanto riportato in questa pagina: https://docs.hackerone.com/hackers/reputation.html
Dopo quanto tempo mi contatterete in seguito alla mia disclosure?
La tua richiesta dovrebbe essere accolta entro 72 ore. La tua disclosure dovrà poi essere validata. Dopodiché sarai contattato di nuovo, generalmente entro cinque giorni lavorativi.
Posso pubblicare dettagli sulla vulnerabilità dopo la mia disclosure?
Chiediamo che ogni dettaglio rimanga confidenziale per proteggere la nostra comunità. Per ulteriori informazioni contatta HackerOne all'indirizzo support@hackerone.com

Invia un rapporto vulnerabilità