Политика Программы ответственного раскрытия информации
Безопасность данных пользователей находится на первом месте в компании Revolut. Цель данной страницы («Программа раскрытия информации») — предоставить всю необходимую информацию на случай, если вы нашли, или вам кажется, что вы нашли, потенциальное уязвимое место в нашей системе. Безопасность — наша главная задача, и мы признательны нашему сообществу за помощь в данном направлении. При предоставлении информации следуйте условиям, указанным ниже:
- Все обращения должны осуществляться через платформу Intigriti. Для этого вам необходимо пройти регистрацию по ссылке ниже.
- Пожалуйста предоставьте всю необходимую информацию как можно скорее. Это поможет своевременно решить проблему, а также выявить, положено ли вам вознаграждение (если таковые применяются).
- Все вознаграждения зачисляются в виде очков репутации Intigriti, которые определяются Intigriti в соответствии с их пользовательским соглашением. Подробнее см. здесь: https://kb.intigriti.com/en/articles/3379630-leaderboard-reputation-and-streak.
- Публичное разглашение информации о каких-либо уязвимостях системы (к примеру, в социальных сетях или СМИ) подвергнет наше сообщество риску, поэтому просим вас сохранять конфиденциальность данных. Любое раскрытие информации должно осуществляться в соответствии с данной программой раскрытия информации, так мы сможем своевременно разрешить возникшие трудности. Мы оставляем за собой право обращаться в суд или отказывать в вознаграждении в случае, если были нарушены указанные выше правила.
- Если вы выявили уязвимое место в системе и завладели личной информацией пользователя или сотрудника Revolut, вы должны сообщить об этом через форму ниже и немедленно удалить данные. Личными данными являются любые данные, позволяющие идентифицировать личность.
- Данные, полученные в ходе любых исследований, проведенных вами после сообщения об обнаруженной уязвимости, не должны быть получены незаконным путем.
Часто задаваемые вопросы
Какую информацию нельзя указывать?
- Инфраструктура политики отправителей (Sender Policy Framework, SPF), ссылки конфигураций DKIM и DMARC
- Раскрытие общедоступных файлов и каталогов (к примеру, robots.txt)
- Захват баннеров на общедоступных сервисах без PoC
- Безопасность заголовка в конфигурации или отсутствующий заголовок
- Недостаточная безопасность/HTTPOnly flags без учета файлов-cookies: Фишинг или Психологическая атака
Есть ли вознаграждение?
Как только Intigriti рассмотрит ваш отчет, вы получите очки репутации. Подробнее по ссылке https://kb.intigriti.com/en/articles/3379630-leaderboard-reputation-and-streak
Когда я получу обратную связь после предоставления информации?
Мы ознакомимся с вашим заявлением в течение 72 часов. Затем нам будет необходимо проверить указанную вами информацию, после чего мы снова свяжемся с вами. Обычно это занимает 5 рабочих дней.
Могу ли я публиковать что-либо об уязвимости системы после раскрытия информации?
Просим вас сохранять конфиденциальность указанных данных, чтобы обеспечивать безопасность нашего сообщества. Данное требование соответствует Условиям участия исследователей в деятельности Intigriti: https://kb.intigriti.com/en/articles/5466165-researcher-terms-conditions. Если у вас остались вопросы, свяжитесь с Intigriti по адресу: support@intigriti.com