Atbildīgas informācijas izpaušanas programmas politika

Revolut lietotāju datu drošība ir mūsu prioritāte. Šīs lapas (Responsible Disclosure Program) nolūks ir jums sniegt visu informāciju, kas nepieciešama, ja atklājāt vai uzskatāt, ka atklājāt, iespējamu kāda mūsu pakalpojuma ievainojamību. Mēs apņemamies nodrošināt, ka mūsu drošība ir augstākajā līmenī, un patiesi novērtējam kopienas palīdzību šī mērķa sasniegšanā. Lai nodrošinātu, ka visa informācija tiek atklāta atbildīgā veidā, lūdzu, ievērojiet tālāk sniegtos noteikumus:

  • Visi iesniegumi ir jāveic Intigriti platformā, jums būs tajā jāreģistrējas, izmantojot šīs lapas apakšdaļā pieejamo saiti.
  • Informācijas atklāšana ir jāveic iespējami drīz. Tas ne vien palīdzēs savlaicīgi atrisināt drošības problēmas, bet arī ļaus jums pirmajam saņemt atlīdzību (ja tāda būs paredzēta)!
  • Visas balvas tiek izmaksātas Intigriti reputācijas punktu veidā un tās pārvalda Intigriti saskaņā ar viņu noteikumiem un nosacījumiem. Sīkāku informāciju var atrast šeit: https://kb.intigriti.com/en/articles/3379630-leaderboard-reputation-and-streak.
  • Publiska informācijas atklāšana par jebkādu ievainojamību (piem., izmantojot sociālos plašsaziņas līdzekļus vai presi) var apdraudēt mūsu kopienu, tāpēc, lūdzu, ievērojiet konfidencialitāti. Jebkāda informācijas atklāšana ir jāveic saskaņā ar šo Informācijas atbildīgas atklāšanas programmu, lai mēs varētu iespējami drīz pievērsties problēmu novēršanai. Mēs paturam tiesības ierosināt tiesvedību vai ieturēt atlīdzības gadījumā, ja šie noteikumi netiek ievēroti.
  • Ja konstatējat ievainojamību un iegūstat Revolut klientu vai darbinieku personas datus, tie ir jāizdzēš uzreiz pēc tam, kad esat par to ziņojis, izmantojot tālāk pieejamo veidlapu. Par personas datiem ir uzskatāma jebkāda informācija, ar ko iespējams identificēt kādu personu.
  • Informācijas izpēte, ko veicat, lai ziņotu par ievainojamību, nedrīkst ietvert nelikumīgas darbības, tostarp tālāk norādītās.

Biežāk uzdotie jautājumi

Par ko man nevajadzētu ziņot?

  • Sūtītāja politikas struktūra (SPF), DKIM un DMARC konfigurācijas ieteikumi
  • Zināmu publisku failu vai direktoriju atklāšana (piem., robots.txt)
  • Paziņojumu joslas atklāšana vispārējos/publiskos pakalpojumos bez koncepcijas pierādījuma
  • Drošības virsraksta konfigurācijas vai iztrūkstošs virsraksts
  • Karodziņu Secure/HTTPOnly trūkums zema riska sīkfailos - Pikšķerēšana vai sociālās inženierijas uzbrukumi

Vai ir paredzēta atlīdzība?

Pēc apstiprinājuma no Intigriti saņemsit Intigriti reputācijas punktus, kā norādīts šajā lapā: https://kb.intigriti.com/en/articles/3379630-leaderboard-reputation-and-streak

Cik drīz pēc informācijas atklāšanas es saņemšu ziņu?

Iesnieguma saņemšana tiks apstiprināta 72 stundu laikā. Pēc atklātās informācijas apstiprināšanas ar jums vēlreiz sazināsies un tas parasti notiek 5 darbdienu laikā.

Vai pēc informācijas atklāšanas es drīkstu publicēt ziņas par ievainojamību?

Mēs lūdzam saglabāt konfidencialitāti attiecībā uz jebkuru saistīto informāciju, lai pēc iespējas labāk aizsargātu mūsu kopienu. Tas ir saskaņā ar Intigriti pētnieku noteikumiem un nosacījumiem —https://kb.intigriti.com/en/articles/5466165-researcher-terms-conditions. Ja jums ir vēl kādi jautājumi, lūdzu, sazinieties ar Intigriti, rakstot uz support@intigriti.com.

Iesniedziet neaizsargātības ziņojumu

Reģistrēt šeit