Политика Программы ответственного раскрытия информации

Безопасность данных пользователей находится на первом месте в компании Revolut. Цель данной страницы («Программа раскрытия информации») предоставить всю необходимую информацию на случай, если вы нашли, или вам кажется, что вы нашли, потенциальное уязвимое место в нашей системе. Безопасность — наша главная задача, и мы признательны нашему сообществу за помощь в данном направлении. При предоставлении информации следуйте условиям, указанным ниже:

  • Все обращения должны осуществляться через форму ниже.
  • Пожалуйста предоставьте всю необходимую информацию как можно скорее. Это поможет своевременно решить проблему, а также выявить, положено ли вам вознаграждение (если таковые применяются).
  • Все вознаграждения зачисляются в виде очков репутации HackerOne, которые определяются HackerOne в соответствии с их пользовательским соглашением.
  • Публичное разглашение информации о каких-либо уязвимостях системы (к примеру, в социальных сетях или СМИ) подвергнет наше сообщество риску, поэтому просим вас сохранять конфиденциальность данных. Любое раскрытие информации должно осуществляться в соответствии с данной программой раскрытия информации, так мы сможем своевременно разрешить возникшие трудности. Мы оставляем за собой право обращаться в суд или отказывать в вознаграждении в случае, если были нарушены указанные выше правила.
  • Если вы выявили уязвимое место в системе и завладели личной информацией пользователя или сотрудника Revolut, вы должны сообщить об этом через форму ниже и немедленно удалить данные. Личными данными являются любые данные, позволяющие идентифицировать личность.
  • Предпринятые вами поиски уязвимых средств, о которых вы сообщили заполняя форму, не должны быть получены противозаконными средствами.

Часто задаваемые вопросы

Какую информацию нельзя указывать?

- Инфраструктура политики отправителей (Sender Policy Framework, SPF), ссылки конфигураций DKIM и DMARC - Раскрытие общедоступных файлов и каталогов (к примеру, robots.txt) - Захват баннеров на общедоступных сервисах без PoC - Безопасность заголовка в конфигурации или отсутствующий заголовок - Недостаточная безопасность/HTTPOnly flags без учета файлов-cookies - Фишинг или Психологическая атака

Есть ли вознаграждение?

Как только HackerOne рассмотрит ваш отчет, вы получите очки репутации от HackerOne. Подробнее по ссылке: https://docs.hackerone.com/hackers/reputation.html

Когда я получу обратную связь после предоставления информации?

Мы ознакомимся с вашим заявлением в течение 72 часов. Затем нам будет необходимо проверить указанную вами информацию, после чего мы снова свяжемся с вами. Обычно это занимает 5 рабочих дней.

Могу ли я публиковать что-либо об уязвимости системы после раскрытия информации?

Просим вас сохранять конфиденциальность указанных данных, чтобы обеспечивать безопасность нашего сообщества. Если у вас остались вопросы, свяжитесь с HackerOne по адресу: support@hackerone.com

Предоставьте отчет по оценке уязвимости