Politica privind Programul de divulgare responsabilă

Generalități

La Revolut, securitatea datelor utilizatorilor noștri este o prioritate zero. Scopul acestei pagini („Programul de divulgare responsabilă”) este de a-ți oferi toate informațiile de care ai nevoie dacă ai descoperit sau dacă crezi că ai descoperit o posibilă vulnerabilitate la oricare dintre serviciile noastre. 

Ne-am angajat să asigurăm că securitatea pe care o oferim este una de nivel superior și apreciem foarte mult ajutorul comunității noastre pentru a realiza acest lucru. Pentru a asigura că orice divulgări sunt făcute în mod responsabil, trebuie să respecți termenii de mai jos: 

  • Toate solicitările trebuie făcute prin intermediul formularului din partea de jos a acestei pagini. 
  • Trebuie să faci orice divulgare cât mai curând posibil. Astfel, problemele de securitate vor putea fi remediate în timp util și te vei asigura că vei fi primul care primește o recompensă (dacă este cazul)!
  • Toate recompensele vor fi sub formă de puncte BugCrowd și vor fi gestionate de BugCrowd în conformitate cu termenii și condițiile sale.
  • Divulgarea publică a oricărei vulnerabilități (de exemplu, în rețele sociale sau în presă) poate pune în pericol comunitatea noastră, așadar, te rugăm ca aceste informații să rămână confidențiale. Toate divulgările trebuie făcute în conformitate cu acest Program de divulgare responsabilă, ca să ne putem concentra pe soluționarea problemelor cât mai curând posibil. Ne rezervăm dreptul de a lua măsuri legale sau de a sista recompensele dacă acest lucru nu este respectat.
  • Dacă descoperi o vulnerabilitate și intri în posesia unor date cu caracter personal ale clienților sau angajaților Revolut, trebuie să te asiguri că acestea sunt șterse imediat ce divulgi vulnerabilitatea prin intermediul formularului de mai jos. Date cu caracter personal înseamnă orice informații care pot fi folosite pentru a identifica o persoană.
  • Niciuna dintre cercetările pe care le faci atunci când raportezi o vulnerabilitate nu trebuite să fie obținută prin mijloace ilegale precum: 
    • accesare, sau tentativă de accesare, a unor conturi sau date care nu îți aparțin;
    • tentative de a folosi malware, viruși sau software dăunător similar;
    • trimitere de mesaje spam nesolicitate.

Întrebări frecvente

  1. Ce nu ar trebui să raportez?
    • Sugestii de configurare Sender Policy Framework (SPF), DKIM și DMARC
    • Divulgarea fișierelor sau a directoarelor publice cunoscute (de exemplu, robots.txt)
    • Divulgarea bannerelor despre servicii obișnuite/publice fără un PoC
    • Configurațiile antetului de securitate sau un antet lipsă
    • Lipsa semnalizărilor de securitate/doar HTTP pentru cookie-uri care nu sunt confidențiale
    • Atacurile de phishing sau de inginerie socială
  2. Există vreun premiu? 

    După validarea de către BugCrowd, vei primi puncte BugCrowd, după cum am menționat în această pagină: https://researcherdocs.bugcrowd.com/docs/getting-rewarded.
  3. Când primesc vești de la voi, după ce divulg o vulnerabilitate?

    Materialul pe care îl trimiți ar trebui să fie confirmat în termen de 72 de ore. După aceea, divulgarea trebuie validată, apoi vei fi contactat din nou, de obicei, în termen de 5 zile lucrătoare. 
  4. Pot publica ceva legat de vulnerabilitate după ce o divulg?

    Te rugăm ca toate detaliile să rămână confidențiale, pentru a ne proteja cât mai mult comunitatea. Dacă ai alte întrebări despre acest subiect, contactează BugCrowd la support@bugcrowd.com.

Formular de divulgare responsabilă