Beleid inzake het programma voor verantwoorde openbaarmaking
Bij Revolut is de veiligheid van de gegevens van onze gebruikers onze prioriteit. Deze pagina (het 'programma voor verantwoorde openbaarmaking') heeft als doel je alle informatie te geven die je nodig hebt wanneer je een beveiligingsprobleem of een potentieel beveiligingsprobleem hebt ontdekt in onze diensten. We zetten ons in om ervoor te zorgen dat onze beveiliging van het hoogste niveau is en waarderen de hulp van onze community enorm om dit te bereiken. Om er zeker van te zijn dat alle meldingen op verantwoorde wijze plaatsvinden, moet je je aan de onderstaande voorwaarden houden:
- Alle inzendingen moeten via het Intigriti-platform gebeuren. Je moet je registreren op het platform via de link onderaan deze pagina.
- Zorg ervoor dat alle meldingen zo snel mogelijk worden ingediend. Dit helpt niet alleen bij het tijdig oplossen van beveiligingsproblemen, maar zorgt er ook voor dat je de eerste bent die een beloning krijgt (indien van toepassing)!
- Alle beloningen komen in de vorm van Intigriti-reputatiepunten en worden beheerd door Intigriti in overeenstemming met hun algemene voorwaarden. Meer informatie vind je hier - https://kb.intigriti.com/en/articles/3379630-leaderboard-reputation-and-streak.
- Het publiekelijk melden van kwetsbaarheden (bijv. via social media of de pers) kan onze community in gevaar brengen, dus zorg ervoor dat je dit vertrouwelijk houdt. Alle meldingen moeten worden gedaan in overeenstemming met dit Responsible Disclosure Program (programma voor verantwoorde openbaarmaking), zodat wij ons kunnen richten op het zo snel mogelijk oplossen van problemen. Wij behouden ons het recht voor om juridische stappen te ondernemen of beloningen in te houden als dit niet wordt opgevolgd.
- Als je een kwetsbaarheid ontdekt en in het bezit komt van persoonlijke gegevens van Revolut-klanten of -medewerkers, zorg er dan voor dat deze worden verwijderd zodra je de melding hebt gedaan via het onderstaande formulier. Persoonsgegevens zijn alle gegevens die kunnen worden gebruikt om iemand te identificeren.
- Niets van het onderzoek dat je hebt gedaan voor het melden van een kwetsbaarheid mag op onrechtmatige wijze zijn verkregen.
Veelgestelde vragen
- Sender Policy Framework (SPF), DKIM- en DMARC-configuratiesuggesties
- Melding van bekende openbare bestanden of mappen (bijv. robots.txt)
- Melding van banners op gemeenschappelijke/openbare diensten zonder een PoC
- Configuraties van beveiligingsheaders of ontbrekende header
- Gebrek aan beveiligde/HTTPOnly-markeringen op niet-gevoelige cookies - Phishing- of Social Engineering-aanvallen
- Na validatie door Intigriti ontvang je Intigriti-reputatiepunten zoals vermeld op deze pagina: https://kb.intigriti.com/en/articles/3379630-leaderboard-reputation-and-streak
- Je inzending wordt binnen 72 uur bevestigd. Vervolgens moet de melding worden gevalideerd, daarna nemen we doorgaans binnen vijf werkdagen contact met je op.
- We verzoeken je om alle details vertrouwelijk te houden om onze community zo goed mogelijk te beschermen. Dit komt overeen met de algemene voorwaarden voor onderzoekers van Intigriti - https://kb.intigriti.com/en/articles/5466165-researcher-terms-conditions. Als je nog vragen hebt hierover, neem dan contact op met Intigriti via [email protected]