Policy del Programma di Responsible Disclosure
Noi di Revolut riteniamo che la sicurezza dei dati dei nostri utenti sia fondamentale. L'obiettivo di questa pagina (il "Programma di divulgazione responsabile") è quello di fornirti tutte le informazioni necessarie se hai scoperto o se credi di aver scoperto una potenziale vulnerabilità in uno dei nostri servizi. Ci impegniamo a fornire una sicurezza di massimo livello e apprezziamo l'aiuto della nostra community per ottenerla. Per assicurarti che le divulgazioni siano effettuate in maniera responsabile, segui i termini presentati di seguito:
- Tutte le richieste devono essere effettuate tramite la piattaforma Intigriti: devi registrati sulla piattaforma utilizzando il link in fondo a questa pagina.
- Assicurati di presentare ciò che desideri divulgare il prima possibile. Questo aiuterà a risolvere le questioni di sicurezza in tempo e ad assicurarti una ricompensa (laddove disponibile)!
- Tutte le ricompense saranno erogate in punti reputazione e gestite da Intigriti in conformità con i loro Termini e condizioni. Per maggiori informazioni, consulta il seguente articolo: https://kb.intigriti.com/en/articles/3379630-leaderboard-reputation-and-streak.
- Le divulgazioni pubbliche di vulnerabilità (attraverso i social media o la stampa) possono mettere a rischio la nostra community, quindi ti chiediamo di rispettare la confidenzialità. Tutte le divulgazioni dovrebbero essere effettuate in conformità con il Programma di divulgazione responsabile, in modo da poterci concentrare sulla risoluzione tempestiva dei problemi. In caso contrario, ci riserviamo il diritto di intraprendere azioni legali o negare ricompense.
- Se scopri una vulnerabilità ed entri in possesso di dati personali di clienti o dipendenti Revolut, devi assicurarti di cancellarli non appena hai presentato la divulgazione tramite il modulo sottostante. I dati personali sono le informazioni che permettono di identificare un individuo.
- Nessuna delle ricerche intraprese per riportare una vulnerabilità deve essere illegale.
Domande frequenti
- Suggerimenti di configurazione di Sender Policy Framework (SPF), DKIM e DMARC
- Divulgazione di documenti o directory pubblici (ad esempio robots.txt)
- Divulgazione di banner in servizi di uso corrente/pubblici senza PoC
- Impostazioni dell'intestazione di sicurezza o intestazione mancante
- Mancanza di flag Secure/HTTPOnly o cookies - Attacchi di Phishing o Social Engineering
- Una volta validata da Intigriti, riceverai punti di reputazione Intigriti, in conformità con quanto riportato in questa pagina: https://kb.intigriti.com/en/articles/3379630-leaderboard-reputation-and-streak
- La tua richiesta dovrebbe essere accolta entro 72 ore. La tua disclosure dovrà poi essere validata. Dopodiché sarai contattato di nuovo, generalmente entro cinque giorni lavorativi.
- Chiediamo che ogni dettaglio rimanga confidenziale per proteggere la nostra comunità, in linea con i Termini e condizioni dei ricercatori di Intigriti: https://kb.intigriti.com/en/articles/5466165-researcher-terms-conditions. Per ulteriori domande, contatta via email Intigriti all'indirizzo [email protected]