Beleid inzake het programma voor verantwoorde openbaarmaking

Bij Revolut is de veiligheid van de gegevens van onze gebruikers onze prioriteit. Deze pagina (het ‘programma voor verantwoorde openbaarmaking’) heeft als doel je alle informatie te geven die je nodig hebt wanneer je een beveiligingsprobleem of een potentieel beveiligingsprobleem hebt ontdekt in onze diensten. We engageren ons om ervoor te zorgen dat onze beveiliging van het hoogste niveau is en waarderen de hulp van onze community om dit te bereiken. Om er zeker van te zijn dat alle meldingen op verantwoorde wijze plaatsvinden moet je je aan de onderstaande voorwaarden houden:

  • Alle inzendingen moeten gebruik maken van het formulier onderaan deze pagina.
  • Zorg ervoor dat alle informatie zo snel mogelijk wordt verstrekt. Dit helpt niet alleen bij het tijdig oplossen van beveiligingsproblemen, maar zorgt er ook voor dat je de eerste bent die een beloning krijgt (indien van toepassing)!
  • Alle beloningen bestaan uit HackerOne-reputatiepunten en worden beheerd door HackerOne, in overeenstemming met hun algemene voorwaarden.
  • Openbare bekendmakingen van beveiligingsproblemen (bijv. via sociale media of de pers) kunnen onze community in gevaar brengen, dus zorg ervoor dat je dit vertrouwelijk houdt. Alle openbaarmakingen moeten worden gedaan in overeenstemming met dit Programma voor verantwoorde openbaarmaking, zodat we ons kunnen concentreren op het zo snel mogelijk oplossen van problemen. We behouden ons het recht om juridische stappen te ondernemen of beloningen in te houden als dit niet wordt opgevolgd.
  • Als je een beveiligingsprobleem ontdekt en in het bezit komt van persoonsgegevens van klanten of werknemers van Revolut, moet je ervoor zorgen dat deze worden gewist meteen na je melding via onderstaand formulier. Persoonsgegevens zijn alle gegevens die kunnen worden gebruikt om een persoon te identificeren.
  • Het onderzoek dat je hebt gedaan met betrekking tot de melding mag niet gebeurd zijn met onwettige middelen

Veelgestelde vragen

Wat moet ik niet melden?

- Sender Policy Framework (SPF), DKIM- en DMARC-configuratiesuggesties - Openbaarmaking van bekende openbare bestanden of mappen (bijv. robots.txt) - Bekendmaking van banners op gemeenschappelijke/openbare diensten zonder een PoC - Beveiligingsheaderconfiguraties of ontbrekende header - Gebrek aan beveiligde/HTTPOnly vlaggen op niet-gevoelige cookies - Phishing- of Social Engineering-aanvallen

Is er een beloning?

Na validatie door HackerOne ontvang je HackerOne-reputatiepunten zoals vermeld op deze pagina: https://docs.hackerone.com/hackers/reputation.html

Wanneer hoor ik iets van jullie na het maken van een melding?

Je inzending wordt binnen 72 uur bevestigd. Vervolgens moet de melding worden gevalideerd, daarna nemen we doorgaans binnen vijf werkdagen contact met je op.

Mag ik na mijn melding iets publiceren over het beveiligingsprobleem?

We verzoeken je om alle details vertrouwelijk te houden om onze community zo goed mogelijk te beschermen. Als je verder nog vragen hebt, neem dan contact op met HackerOne via support@hackerone.com

Kwetsbaarheden rapport indienen