Güvenlik Açığı Bildirim Yönergeleri
Tüm teknolojiler hata içerir. Eğer bir güvenlik açığı bulduysanız, size yardımcı olmak isteriz. Hackdra’daki bir programa bir güvenlik açığı göndererek veya Güvenlik Ekibi olarak kaydolarak, bu yönergeleri okuduğunuzu ve kabul ettiğinizi onaylamış olursunuz.
Güvenlik Açığı İfşa Felsefesi
Bulucular…
- Kurallara saygı gösterin. Güvenlik Ekibi tarafından belirlenen kurallar dahilinde hareket edin veya kurallarla ciddi bir anlaşmazlık içindeyseniz sesinizi yükseltin.
- Gizliliğe saygı gösterin. Başka bir kullanıcının verilerine erişmemek veya bunları yok etmemek için iyi niyetli bir çaba gösterin.
- Sabırlı olun. Talep üzerine raporlarını açıklığa kavuşturmak ve desteklemek için iyi niyetli bir çaba gösterin.
- Zarar vermeyin. Bulunan tüm güvenlik açıklarını derhal bildirerek kamu yararı için hareket edin. İzinleri olmadan asla kasıtlı olarak başkalarını istismar etmeyin.
Bulanlar şunları yapmalıdır.
- Güvenliğe öncelik verin. Bildirilen güvenlik sorunlarını hızlı ve şeffaf bir şekilde çözmek için iyi niyetli bir çaba gösterin.
- Buluculara saygı gösterin. Bulucuları katkılarından dolayı kamuoyunda takdir edin.
- Araştırmayı ödüllendirin. Uygun olduğunda güvenlik araştırmalarını finansal olarak teşvik edin.
- Zarar vermeyin. Buluculara karşı yasal tehditlerde bulunmak veya meseleleri kolluk kuvvetlerine havale etmek gibi makul olmayan cezalandırıcı eylemlerde bulunmayın.
Finder’ların çıkarlarını korumaya kararlıyız. Ancak, güvenlik açığı ifşası doğası gereği belirsiz bir süreçtir. Bir Bulucunun davranışı bu yönergelere ne kadar yakın olursa, zor bir ifşa durumu ortaya çıktığında sizi o kadar fazla koruyabiliriz.
Güvenlik Ekipleri, belirli bir hizmet veya ürüne yönelik güvenlik araştırmalarına rehberlik etmek üzere tasarlanmış bir program politikası yayınlayacaktır. Bir çelişki durumunda bu yönergelerin yerini alacağından, göndermeden önce bu program politikasını her zaman dikkatlice incelemelisiniz.
Bir güvenlik açığı bulduğunuzu düşünüyorsanız, lütfen Hackdra platformundaki uygun programa bir Rapor gönderin. Rapor, keşfinizin açık, özlü, tekrarlanabilir adımlar veya çalışan bir kavram kanıtı ile ayrıntılı bir açıklamasını içermelidir. Güvenlik açığını ayrıntılı olarak açıklamazsanız, ifşa sürecinde önemli gecikmeler olabilir ve bu herkes için istenmeyen bir durumdur.
Rapor, güvenlik açığı doğrulandığında, sizden daha fazla bilgi istendiğinde veya bir ödül almaya hak kazandığınızda dahil olmak üzere önemli olaylarla güncellenecektir.
Raporun içeriği derhal Güvenlik Ekibinin erişimine açılacak ve Güvenlik Ekibine bir düzeltme yayınlaması için yeterli zaman tanımak amacıyla başlangıçta kamuya açık olmayacaktır. Rapor kapatıldıktan sonra, Bulucu ya da Güvenlik Ekibi tarafından kamuya açıklanması talep edilebilir.
- Varsayılan: Taraflardan hiçbiri itirazda bulunmazsa, Raporun içeriği 30 gün içinde kamuya açıklanır.
- Karşılıklı anlaşma: Bulucu ve Güvenlik Ekibi üyelerinin ifşa zaman çizelgeleri konusunda açık iletişim içinde olmalarını teşvik ediyoruz. Her iki taraf da mutabık kalırsa, Raporun içeriği karşılıklı olarak mutabık kalınan bir zaman çizelgesinde kamuya açıklanabilir.
- Koruyucu açıklama: Güvenlik Ekibi aktif istismar veya yakın kamu zararına ilişkin kanıtlara sahipse, kullanıcıların koruyucu önlemler alabilmesi için düzeltme ayrıntılarını derhal kamuya açıklayabilir.
- Uzatma: Karmaşıklık ve diğer faktörler nedeniyle, bazı güvenlik açıklarının düzeltilmesi için varsayılan 30 günden daha uzun süre gerekebilir. Bu durumlarda, Güvenlik Ekibinin bir güvenlik sorununu ele almak için yeterli süreye sahip olmasını sağlamak için Rapor kamuya açık olmayabilir. Bu gibi durumlarda Güvenlik Ekiplerini Finder ile açık iletişim halinde kalmaya teşvik ediyoruz.
- Son çare: Güvenlik Ekibinin bir güvenlik açığı ifşa zaman çizelgesi sağlayamadığı veya sağlamak istemediği 180 gün geçtiyse, Raporun içeriği Bulucu tarafından kamuya açıklanabilir. Bu aşırı durumlarda şeffaflığın kamunun yararına olduğuna inanıyoruz.Özel ProgramBazı Bulucular özel Programlara davet alabilirler. Özel bir Programa katılımınız tamamen isteğe bağlıdır ve varsayılan olarak katı ifşa etmeme yükümlülüğüne tabidir. Özel bir Programa daveti kabul etmeden önce, Bulucular katılım için gerekli olan program politikalarını ve ifşa etmeme anlaşmalarını dikkatle incelemelidir. Herhangi bir şekilde kamuya açıklama yapma niyetinde olan Bulucular özel Programlara katılmamalıdır.
Hackdra iki alternatif önermektedir:
(a) Program dışında doğrudan Güvenlik Ekibine gönderin. Bu durumda, Program Politikası tarafından sağlanan herhangi bir güvenli liman mevcut olmayabileceğinden, Bulucuların sağduyulu davranmaları tavsiye edilir.
(b) İfşa yardım sürecimizden yararlanın.
Aşağıdaki durumlarda bulgunuz için kamuoyu tarafından tanınabilirsiniz
- Belirli bir güvenlik açığı için Rapor hazırlayan ilk kişi sizsiniz,
- güvenlik açığının geçerli bir güvenlik sorunu olduğunun doğrulanması ve
bu yönergelere uyduğunuzu beyan etmelisiniz.
Bir Bulucu anonim kalmayı tercih ediyorsa, takma adla gönderimde bulunmalarını teşvik ediyoruz.
Bazı Güvenlik Ekipleri güvenlik açığı ifşası için parasal ödüller sunabilir. Tüm Güvenlik Ekipleri parasal ödüller sunmaz ve bir ödül verme kararı tamamen kendi takdirlerine bağlıdır. Her bir ödül ödemesinin miktarı Güvenlik Ekibi tarafından belirlenecektir. Bounty ödemeleri aşağıdaki uygunluk şartlarına tabidir:
- Amerika Birleşik Devletleri merkezli olduğumuz için, ABD Yabancı Varlıklar Kontrol Ofisi (OFAC) tarafından belirlendiği üzere ABD’nin ticaret kısıtlamaları veya ihracat yaptırımları uyguladığı bir ülkede ikamet edenlere veya güvenlik açıklarını bildirenlere ödül ödeyemiyoruz.
- Reşit olmayanlar da programa katılabilir. Ancak, Çocukların Çevrimiçi Gizliliğini Koruma Yasası, 13 yaşın altındaki çocuklardan kişisel bilgi toplama kabiliyetimizi kısıtlamaktadır, bu nedenle 12 yaşında veya daha küçükseniz ödüllerinizi ebeveyniniz veya yasal vasiniz aracılığıyla talep etmeniz gerekecektir.
- Tüm ödemeler ABD doları (USD) cinsinden yapılacak ve yerel yasalara, yönetmeliklere ve etik kurallara uygun olacaktır. Aldığınız herhangi bir ödülün, ülkenizin yasaları tarafından belirlenen vergi sonuçlarından siz sorumlusunuz.
- İşvereninizin bu ödül programına katılma uygunluğunuzu etkileyebilecek politikalarına uymak tamamen sizin sorumluluğunuzdadır.
Güvenlik Ekibi:
Bir ürün veya hizmette bulunan güvenlik sorunlarını ele almaktan sorumlu olan bireylerden oluşan bir ekip. Koşullara bağlı olarak, bu bir kuruluştan resmi bir güvenlik ekibi, açık kaynaklı bir projede bir grup gönüllü veya bağımsız bir gönüllüler paneli olabilir.
Bulucu:
Bilgisayar korsanları olarak da bilinir. Akademik güvenlik araştırmacıları, yazılım mühendisleri, sistem yöneticileri ve hatta sıradan teknoloji uzmanları da dahil olmak üzere bir tür teknolojide potansiyel bir güvenlik sorununu araştıran herkes.
Rapor:
Bir Finder’ın belirli bir ürün veya hizmetteki potansiyel bir güvenlik açığına ilişkin açıklaması. Hackdra’da Raporlar her zaman ilgili Güvenlik Ekibine kamuya açık olmayan gönderimler olarak başlar.
Güvenlik Açığı:
Bir saldırganın ifade edilen bir güvenlik politikasını ihlal eden bir eylem gerçekleştirmesine izin verecek bir yazılım hatası. Yükseltilmiş erişim veya ayrıcalık sağlayan bir hata bir güvenlik açığıdır. Tasarım kusurları ve en iyi güvenlik uygulamalarına uyulmaması güvenlik açığı olarak nitelendirilebilir. Virüsler, kötü amaçlı kodlar ve sosyal mühendislik tarafından istismar edilen zayıflıklar, Güvenlik Ekibi programın politikasında aksini belirtmediği sürece güvenlik açığı olarak kabul edilmez.
Programlar:
Güvenlik Ekipleri, belirli bir hizmet veya ürüne yönelik güvenlik araştırmalarına rehberlik etmek üzere tasarlanmış bir Program ve Program Politikası yayınlayabilir. Bu program özel ise, katılımınız tamamen isteğe bağlıdır ve varsayılan olarak ifşa edilmemeye tabidir.
Bu Kılavuzda Yapılan Değişiklikler
Bu yönergeleri zaman zaman revize edebiliriz. Mevcut sürüm 1.3 olup, 1 Ocak 2023 tarihinde güncellenmiştir ve her zaman https://hackdra.com/tr/guvenlik-acigi-bildirim-yonergeleri/ adresinde yer alacaktır. Haklarınızı önemli ölçüde değiştireceğine inandığımız değişiklikler yaparsak, bu değişiklikleri yapmadan 7 gün önce size e-posta göndereceğiz ve sitemizde belirgin bir şekilde bir bildirim yayınlayacağız.
Hackdra geri bildirimlere, sorulara ve önerilere her zaman açıktır. Bizimle konuşmak isterseniz, lütfen bize iletisim@hackdra.com adresine e-posta göndermekten veya bizi Twitter’da @hackdra takip etmekten çekinmeyin.