Política do programa de divulgação responsável

Na Revolut, a segurança dos dados dos nossos utilizadores é a nossa prioridade. O propósito desta página (Política do Programa de Divulgação Responsável) é fornecer-lhe toda a informação necessária caso tenha descoberto ou acredite ter descoberto uma possível vulnerabilidade em algum dos nossos serviços. Estamos comprometidos em garantir que a nossa segurança é de alto nível e apreciamos a ajuda da nossa comunidade para atingir este objetivo. Para se certificar de que quaisquer divulgações são feitas de forma responsável, certifique-se de que cumpre os termos abaixo:

  • Todas as submissões devem ser feitas através do formulário na parte inferior desta página.
  • Certifique-se de que todas as divulgações são efetuadas o mais rapidamente possível. Isso não só ajudará a resolver problemas de segurança rapidamente, mas também ajudará a garantir que será o primeiro a receber qualquer recompensa (se aplicável)!
  • Todas as recompensas serão na forma de pontos de reputação da HackerOne e são geridas pela HackerOne de acordo com os seus Termos e Condições.
  • As divulgações públicas de quaisquer vulnerabilidades (p. ex. através das redes sociais ou a imprensa) podem colocar a nossa comunidade em risco, por isso, certifique-se de que mantém confidencialidade em relação a elas. Todas as divulgações devem ser feitas de acordo com este Programa de Divulgação Responsável, para que possamos concentrar-nos em resolver quaisquer problemas o mais rápido possível. Reservamo-nos o direito de tomar medidas legais, ou reter recompensas, caso estas condições não sejam cumpridas
  • Se descobrir alguma vulnerabilidade que lhe permita ter acesso a dados pessoais sobre clientes ou funcionários da Revolut, terá de garantir que irá apagar estas informações assim que efetuar a divulgação através do formulário abaixo. Dados pessoais são quaisquer informações que podem ser utilizadas para identificar um indivíduo.
  • Numa das pesquisas que tenha realizado ao relatar uma vulnerabilidade deverá ter sido obtida por meios ilícitos.

Perguntas frequentes

O que não devo reportar?
- Sugestões de configuração de Sender Policy Framework (SPF), DKIM e DMARC - Divulgação de ficheiros ou listas públicas conhecidas (p.ex. robots.txt) - Banner disclosures em serviços comuns/públicos sem um PoC - Configurações de cabeçalho de segurança ou cabeçalho em falta - Falta de sinalizadores Secure/HTTPOnly em cookies não sensíveis - Phishing ou ataques de engenharia social
Existe alguma recompensa?
Assim que a HackerOne valide, receberá pontos de reputação e será mencionado nesta página: https://docs.hackerone.com/hackers/reputation.html
Quanto tempo irão demorar a contactar-me após efetuar uma divulgação?
A sua submissão deverá ser reconhecida num prazo de 72 horas. A divulgação terá então de ser validada e, num prazo habitual de 5 dias úteis, entraremos em contacto consigo novamente.
Após a minha divulgação, posso publicar algo relacionado com a vulnerabilidade?
Pedimos que quaisquer detalhes permaneçam confidenciais para proteger a nossa comunidade. Se tiver mais perguntas sobre o assunto, contacte a HackerOne em support@hackerone.com

Submeter relatório de vulnerabilidade