Zasady programu odpowiedzialnego ujawniania

Ogólne

W firmie Revolut priorytetem jest bezpieczeństwo danych użytkowników. Niniejsza strona („Program odpowiedzialnego ujawniania”) ma na celu przekazanie Ci wszystkich niezbędnych informacji w przypadku, gdy zauważyłeś(-aś) lub sądzisz, że zauważyłeś(-aś) potencjalną słabą stronę naszych usług.

Pragniemy zapewnić najwyższe bezpieczeństwo i cenimy pomoc społeczności, która nam to ułatwi. Aby dokonać odpowiedzialnego ujawnienia, przestrzegaj poniższych warunków:

  • Wszelkie sugestie należy przekazywać za pośrednictwem formularza na dole tej strony.
  • Wszelkich ujawnień należy dokonać jak najszybciej. Pomoże nam to terminowo rozwiązywać problemy związane z bezpieczeństwem, ale także zapewnić, że to Ty otrzymasz ewentualną nagrodę!
  • Wszelkie nagrody będą miały postać punktów BugCrowd i będzie nimi zarządzać BugCrowd zgodnie ze swoim regulaminem.
  • Publiczne ujawnienie jakichkolwiek słabych stron (np. w mediach społecznościowych lub prasie) może stwarzać zagrożenie dla naszej społeczności, więc prosimy o zachowanie poufności. Wszelkich ujawnień należy dokonywać zgodnie z niniejszym Programem odpowiedzialnego ujawnienia, abyśmy mogli jak najszybciej skupić się na rozwiązaniu wszelkich problemów. Przy braku przestrzegania tych zasad zastrzegamy sobie prawo do wkroczenia na drogę sądową lub wstrzymania nagrody.
  • Jeśli faktycznie odkryjesz słabą stronę i wejdziesz w posiadanie danych osobowych klientów lub pracowników Revolut, musisz zapewnić usunięcie ich natychmiast po dokonaniu ujawnienia za pośrednictwem poniższego formularza. Dane osobowe to wszelkie informacje, których można użyć do identyfikacji danej osoby.
  • Żadnych badań podjętych przez Ciebie podczas zgłaszania słabej strony nie uzyskano sposobami niezgodnymi z prawem, takich jak:
    • Dostęp lub próba dostępu do kont lub danych, które nie należą do Ciebie;
    • Próby wykorzystania złośliwego oprogramowania, wirusów i podobnego szkodliwego oprogramowania;
    • Wysyłanie niechcianych wiadomości typu spam.

Często zadawane pytania

  1. Czego nie należy zgłaszać?
    • Ramy polityki nadawcy (SPF), sugestie konfiguracji DKIM i DMARC
    • Ujawnienie znanych, ogólnodostępnych plików lub katalogów (np. robots.txt)
    • Ujawnienie baneru na witrynach powszechnych/ogólnodostępnych bez PoC
    • Konfiguracje nagłówka bezpieczeństwa lub brak nagłówka
    • Brak flag Secure/HTTPOnly na ciasteczkach o charakterze niewrażliwym
    • Phishing lub ataki przy użyciu inżynierii społecznej
  2. Czy otrzymam nagrodę?

    Po walidacji przez BugCrowd otrzymasz punkty BugCrowd, jak wspomniano na tej stronie: https://researcherdocs.bugcrowd.com/docs/getting-rewarded.
  3. Czy skontaktujecie się ze mną po dokonaniu przeze mnie ujawnienia?

    Przekazane przez Ciebie dane powinny zostać potwierdzone w ciągu 72 godzin. Ujawnienie będzie wówczas wymagać walidacji, a później skontaktujemy się z Tobą ponownie, zwykle w ciągu 5 dni roboczych.
  4. Czy po ujawnieniu mogę opublikować jakiekolwiek dane na temat słabej strony?

    Prosimy o zachowanie poufności wszelkich szczegółowych informacji w celu ochrony naszej społeczności. W przypadku dalszych pytań na ten temat prosimy o kontakt z BugCrowd pod adresem support@bugcrowd.com.

Formularz odpowiedzialnego ujawniania