Policy för program för ansvarsfull rapportering

Hos Revolut är våra användares uppgifter vår högsta prioritet. Syftet med den här sidan (programmet för ansvarsfull rapportering) är att ge dig all den information du behöver om du har upptäckt eller tror att du har upptäckt en möjlig sårbarhet i våra tjänster. Vi är fast beslutna att se till att vår säkerhet ligger på högsta nivå och uppskattar verkligen all hjälp från vårt community för att uppnå detta. Se till att du följer villkoren nedan så att alla upptäckter rapporteras på ett ansvarsfullt sätt:

  • Alla uppgifter ska lämnas in via Intigriti-plattformen. Du måste registrera dig på plattformen genom att använda länken längst ner på denna sida.
  • Se till att alla upplysningar lämnas så snart som möjligt. Detta kommer inte bara att bidra till att säkerhetsproblem kan lösas i tid utan också till att du är den första som får en eventuell belöning (om tillämpligt)!
  • Alla belöningar kommer att vara i form av Intigriti-poäng och förvaltas av Intigriti i enlighet med deras villkor. Mer information finns här – https://kb.intigriti.com/en/articles/3379630-leaderboard-reputation-and-streak.
  • Om sårbarheter avslöjas offentligt (t.ex. via sociala medier eller press) kan det innebära en risk för vårt community, så se till att detta behandlas konfidentiellt. Alla avslöjanden bör göras i enlighet med detta program för ansvarsfullt avslöjande så att vi kan fokusera på att lösa eventuella problem så snart som möjligt. Vi förbehåller oss rätten att vidta rättsliga åtgärder eller hålla inne belöningar om detta inte följs.
  • Om du upptäcker en sårbarhet och kommer i besittning av personuppgifter om Revoluts kunder eller anställda måste du se till att dessa raderas så snart du har lämnat ut dem via formuläret nedan. Personuppgifter är all information som kan användas för att identifiera en person.
  • Ingen av de undersökningar som du har gjort när du rapporterar en sårbarhet får ha erhållits på olagliga sätt.

Vanliga frågor och svar

    • Förslag på Sender Policy Framework (SPF)-, DKIM- and DMARC-konfigureringar
    • Rapportering av allmänna filer eller listor (till exempel robots.txt)
    • Bannerinformation om vanliga/offentliga tjänster utan kontaktuppgifter
    • Konfigurationer för säkerhets-headers eller saknade headers
    • Avsaknad av Secure/HTTPOnly-flaggor på icke-känsliga kakor
    • Attacker genom nätfiske eller social manipulation
  • När Intigriti har validerat dig får du ryktespoäng hos Intigriti enligt den här sidan: https://kb.intigriti.com/en/articles/3379630-leaderboard-reputation-and-streak
  • Du kommer att få en bekräftelse på din rapport inom 72 timmar. Vi kontaktar dig normalt sett inom 5 arbetsdagar efter att rapporteringen har bekräftats.
  • Vi vill helst att alla uppgifter förblir konfidentiella för att skydda vårt community. Detta är i linje med Intigritis villkor för forskare – https://kb.intigriti.com/en/articles/5466165-researcher-terms-conditions. Om du har ytterligare frågor om detta kan du kontakta Intigriti på support@intigriti.com.

Skicka in sårbarhetsrapport