Politica privind programul de divulgare responsabilă

La Revolut, securitatea informațiilor utilizatorilor noștri este prioritatea noastră. Scopul acestei pagini („Programul de divulgare responsabilă”) este să îți ofere toate informațiile de care ai nevoie în cazul în care ai descoperit sau crezi că ai descoperit o potențială vulnerabilitate în oricare dintre sistemele noastre. Ne-am luat angajamentul să ne asigurăm că securitatea noastră este de primă mână și apreciem cu adevărat ajutorul venit din partea comunității noastre în atingerea acestui obiectiv. Ca să fim siguri că toate divulgările sunt făcute în mod responsabil, te rugăm să te asiguri că îndeplinești termenii de mai jos:

  • Toate divulgările trimise trebuie să fie făcute prin formularul din partea de jos a acestei pagini.
  • Asigură-te că toate divulgările sunt făcute cât mai repede posibil. Acest lucru nu doar că ne ajută să rezolvăm problemele de securitate într-un timp scurt, dar îți și garantează că vei fi primul care va primi o recompensă (dacă e cazul)!
  • Toate recompensele vor fi sub forma unor puncte de reputație HackerOne și vor fi gestionate de HackerOne în concordanță cu termenii și condițiile lor.
  • Divulgările publice cu privire la orice vulnerabilitate (cum ar fi prin canalele de social media sau prin presă) ne pot pune comunitatea în pericol, așa că asigură-te că păstrezi confidențialitatea. Toate divulgările ar trebui să fie făcute în concordanță cu Programul de divulgare responsabilă, astfel încât noi să ne putem concentra pe rezolvarea oricăror probleme cât mai repede cu putință. ne rezervăm dreptul să înaintăm acțiuni legale sau să refuzăm recompense în caz contrar.
  • Dacă descoperi o vulnerabilitate și ajungi în posesia unor informații personale despre clienții sau angajații Revolut, trebuie să te asiguri că le ștergi imediat ce ai făcut divulgarea prin formularul de mai jos. Informațiile personale sunt orice fel de informații care pot fi folosite pentru a identifica o persoană.
  • Nicio documentație folosită pentru a raporta o vulnerabilitate nu trebuie să fi fost obținută prin căi ilegale.

Întrebări frecvente

Ce nu ar trebui să raportez?

- Sugestii legate de configurarea Structurii politicii privind expeditorul (SPF), a DKIM și DMARC - Divulgare a unor documente sau registre publice cunoscute (ex: robots.txt) - Divulgări ale bannerelor despre servicii publice/comune fără un PoC (persoană de contact) - Configurări ale antetelor de securitate sau absența antetelor - Lipsa semnalelor de siguranță/HTTPOnly pentru cookie-urile care nu sunt sensibile - Atacuri de tip phishing sau de inginerie socială

Există vreo recompensă?

Odată validată de HackerOne, vei primi puncte de reputație HackerOne, așa cum este menționat pe pagina: https://docs.hackerone.com/hackers/reputation.html

la cât timp de la divulgarea făcută voi primi un răspuns de la voi?

Divulgarea ta ar trebui să fie procesată în cursul a 72 de ore. Apoi, aceasta va trebui să fie validată, iar apoi vei fi contactat din nou, de obicei în cursul a 5 zile lucrătoare.

Pot publica ceva despre respectiva vulnerabilitate după efectuarea divulgării?

Este necesar ca toate detaliile să rămână confidențiale, pentru a ne proteja cât mai bine comunitatea. Dacă ai orice alte întrebări pe această temă, ia legătura cu HackerOne la adresa support@hackerone.com

Trimite raportul de vulnerabilitate