Política do programa de divulgação responsável

Na Revolut, a segurança dos dados dos nossos utilizadores é a nossa prioridade. O propósito desta página (Política do Programa de Divulgação Responsável) é fornecer-lhe toda a informação necessária caso tenha descoberto ou acredite ter descoberto uma possível vulnerabilidade em algum dos nossos serviços. Estamos comprometidos em garantir que a nossa segurança é de alto nível e apreciamos a ajuda da nossa comunidade para atingir este objetivo. Para se certificar de que quaisquer divulgações são feitas de forma responsável, certifique-se de que cumpre os termos abaixo:

  • Todas as submissões devem ser feitas através da plataforma Intigriti, na qual terá de se registar através da ligação na parte inferior desta página.
  • Certifique-se de que todas as divulgações são efetuadas o mais rapidamente possível. Isso não só ajudará a resolver problemas de segurança rapidamente, como ajudará a garantir que será o primeiro a receber qualquer recompensa (se aplicável)!
  • Todas as recompensas serão na forma de pontos de reputação da Intigriti e são geridas pela mesma, de acordo com os seus Termos e Condições. Pode consultar mais informações aqui: https://kb.intigriti.com/en/articles/3379630-leaderboard-reputation-and-streak.
  • As divulgações públicas de quaisquer vulnerabilidades (p. ex. através das redes sociais ou a imprensa) podem colocar a nossa comunidade em risco, por isso, certifique-se de que mantém confidencialidade em relação a elas. Todas as divulgações devem ser feitas de acordo com este Programa de Divulgação Responsável, para que possamos concentrar-nos em resolver quaisquer problemas o mais rápido possível. Reservamo-nos o direito de tomar medidas legais, ou reter recompensas, caso estas condições não sejam cumpridas
  • Se descobrir alguma vulnerabilidade que lhe permita ter acesso a dados pessoais sobre clientes ou funcionários da Revolut, terá de garantir que irá apagar estas informações assim que efetuar a divulgação através do formulário abaixo. Dados pessoais são quaisquer informações que possam ser utilizadas para identificar um indivíduo.
  • Numa das pesquisas que tenha realizado ao relatar uma vulnerabilidade deverá ter sido obtida por meios ilícitos.

Perguntas frequentes

    • Sugestões de configuração de Sender Policy Framework (SPF), DKIM e DMARC
    • Divulgação de ficheiros ou listas públicas conhecidas (p.ex. robots.txt)
    • Banner disclosures em serviços comuns/públicos sem um PoC
    • Configurações de cabeçalho de segurança ou cabeçalho em falta
    • Falta de sinalizadores Secure/HTTPOnly em cookies não sensíveis - Phishing ou ataques de engenharia social
  • Assim que a Intigriti validar, receberá pontos de reputação, como mencionado nesta página: https://kb.intigriti.com/en/articles/3379630-leaderboard-reputation-and-streak
  • A sua submissão deverá ser reconhecida num prazo de 72 horas. A divulgação terá então de ser validada e, num prazo habitual de 5 dias úteis, entraremos em contacto consigo novamente.
  • Pedimos que quaisquer detalhes permaneçam confidenciais para proteger a nossa comunidade. Este pedido vem no seguimento dos Termos e Condições de Investigação da Intigriti: https://kb.intigriti.com/en/articles/5466165-researcher-terms-conditions. Se tiver alguma questão sobre este assunto, contacte a Intigriti através do e-mail support@intigriti.com

Submeter relatório de vulnerabilidade