Güvenlik Açığı Bildirim Programı

Güvenlik Açığı Bildirim Programımız, güvenlik açıklarının aracımız ya da kullanıcılarımız üzerindeki etkisini en aza indirmeyi amaçlar. Programa dahil olmak için bildirilen güvenlik açığının en güncel herkese açık sürümde bulunması gerekir. Sadece güvenlik açıkları bu programa dahildir; diğer türden hatalar kapsam dışıdır.

Yönergeler ve kapsam sınırlamaları

Bildirimde bulunmadan önce lütfen bu programın detaylarını, kapsamını ve aşağıdaki yönergeleri inceleyin. İyi niyetli güvenlik araştırmaları ile kötü amaçlı saldırılar arasındaki farkın net olması için:

  • Bu Bildirim Programına ve ilgili diğer anlaşmalara uyun
  • Zarara neden olmayın, uygulamanın işleyişini bozmayın ve Kullanım Koşulları Anlaşmamızdaki aykırı davranmayın.
  • Güvenlik açığını göstermek için gerekenden fazla şekilde Kommo’nun herkese açık olmayan verilerine erişmeyin.
  • Kendinize ait olmayan verilere erişmeyin, değiştirmeyin, yok etmeyin, kaydetmeyin, iletmeyin, üzerinde değişiklik yapmayın, aktarmayın, kullanmayın veya görüntülemeyin. Bir güvenlik açığı istenmeyen veri erişimi sağlıyorsa, lütfen testi durdurun, yerel bilgileri temizleyin ve derhal bir rapor gönderin.
  • Başkalarının gizliliğini ihlal etmekten, sistemlerimizi kesintiye uğratmaktan, verileri yok etmekten ve/veya kullanıcı deneyimine zarar vermekten kaçının.
  • Müşterilerimizin gizliliğini veya güvenliğini ve hizmetlerimizin işleyişini tehlikeye atmayın. Bu tür faaliyetler yasa dışı olarak değerlendirilecektir.
  • Bu Bildirim Programına uygun olarak keşfedilen tüm güvenlik açıklarının ayrıntılarını gizli tutun. Bir güvenlik açığının koordine edilmemiş bir şekilde kamuya açıklanması, bu programdan diskalifiye edilmenize neden olabilir.
  • Geçerli yasa ve düzenlemelere uyun.
  • Güvenlik açığı bilgilerini bizimle görüşmek için yalnızca belirlenen resmi kanalları kullanın (bkz. "Raporlama").

Bu Bildirim Programına uygun olarak gerçek kapsam dahilinde güvenlik açığı araştırması yaparken, bu araştırmanın aşağıdakilerle uyumlu olduğunu kabul ediyoruz:

  • Bilgisayar Sahtekarlığı ve Kötüye Kullanım Yasası (CFAA) (ve/veya benzer eyalet yasaları) uyarınca yetkilendirilmiştir ve gerçek güvenlik açığı araştırması yaparken bu Bildirim Programının kazara, iyi niyetli ihlalleri için size karşı yasal işlem başlatmayacağız veya desteklemeyeceğiz.
  • Dijital Binyıl Telif Hakkı Yasası'ndan (DMCA) muaftır ve bu Bildirim Programına uygun olarak gerçek güvenlik açığı araştırması yaparken teknolojik kontrolleri atlatmanız nedeniyle size karşı herhangi bir iddiada bulunmayacağız.
  • Kullanım Koşulları Anlaşmamızdaki gerçek güvenlik açığı araştırması yapılmasına müdahale edecek kısıtlamalardan muaftır ve bu Bildirim Programı kapsamında yapılan gerçek güvenlik açığı araştırması için bu kısıtlamalardan sınırlı bir şekilde feragat ediyoruz.
  • Yasal, İnternetin genel güvenliğine yardımcı ve iyi niyetle yapılmıştır.

Veri bütünlüğümüz ve güvenliğimiz üzerinde gerçek bir risk etkisi olmayan bulgular söz konusu olduğunda işlem yapmama hakkımızı saklı tutarız. Bu Program şartlarını, Kullanım Koşulları Anlaşmasını, Güvenlik ve Emniyet ve GDPR ile ilgili belgeleri ve geçerli yasaları ihlal eden tüm araştırmalar kötü niyetli ve yasa dışı olarak değerlendirilecektir. Herhangi bir güvenlik açığı bildirimi için ücret, ödeme veya ödül sağlama yükümlülüğümüz bulunmamaktadır – bu tür bir eylem tamamen kendi takdirimizdedir.

Herhangi bir zamanda endişeleriniz varsa veya güvenlik araştırmanızın bu Bildirim Programı ile tutarlı olup olmadığından emin değilseniz, daha ileri gitmeden önce lütfen resmi Raporlama kanallarımızdan biri aracılığıyla bir rapor gönderin.

Kapsam

Şu anda aşağıdaki hizmetler ve uygulamalar kapsam dahilindedir:

  • Web uygulaması ve altyapısı: https://www.kommo.com
  • Kommo.com'un herhangi bir üçüncü düzey alt alanı
  • Tüm güvenlik duruşumuz veya altyapımız üzerinde önemli etkisi olan her şey

Kapsam Dışı

Yalnızca manuel veya yarı manuel testleri kabul ediyoruz. Otomatik araçlardan veya komut dosyalarından gelen tüm bulgular kapsam dışı olarak kabul edilecektir. Ayrıca, açıkça tanımlanmış güvenlik etkisi olmayan, eksik güvenlik başlıkları veya açıklayıcı olmayan hata mesajları içeren tüm sorunlar kapsam dışı olarak kabul edilecektir.

Aşağıdaki öğeler de kapsam dışı olarak kabul edilir:

  • Hizmetleri veya kullanıcı deneyimini düşürmek, reddetmek veya olumsuz etkilemek için tasarlanmış veya muhtemel saldırılar (örneğin, Denial of service, Distributed Denial of Service, Bruteforce, password spraying, Spam...).
  • Size ait olmayan veri veya bilgileri yok etmek, bozmak, okunamaz hale getirmek (veya bunlara yönelik girişimler) için tasarlanmış veya muhtemel saldırılar.
  • Çalınmış kimlik bilgilerini, kimlik bilgisi yeniden kullanımını, hesap ele geçirmeyi (ATO), ele geçirmeyi veya diğer kimlik bilgisi tabanlı teknikleri doğrulamak için tasarlanmış veya muhtemel saldırılar.
  • Güvenlik açığını göstermek için gerekli olan minimum uygulanabilir erişimin ötesinde size ait olmayan verilere veya bilgilere kasıtlı olarak erişmek.
  • Personelimize, ofislerimize, kablosuz ağlarımıza veya mülkümüze yönelik fiziksel, sosyal mühendislik veya elektronik saldırılar gerçekleştirmek.
  • Kommo ürünleri veya altyapısıyla entegre olan ve güvenlik açığı için gösterilebilir bir kavram kanıtı olmayan üçüncü taraf uygulamalarındaki, hizmetlerindeki veya bağımlılıklarındaki güvenlik sorunları (örneğin, kütüphaneler, SAAS hizmetleri).
  • Yalnızca ödül almak amacıyla güvendiğimiz bir kütüphaneyi değiştirerek bir güvenlik açığı eklemek gibi, muhabir tarafından oluşturulan veya tanıtılan güvenlik sorunları veya güvenlik açıkları.
  • Açıkça yetkilendirilmiş ve kapsam dahilinde belirtilmeyen herhangi bir sistemde gerçekleştirilen saldırılar.
  • Bir güvenlik sorununu göstermeyen eksik "en iyi uygulamalar" veya diğer yönergeler raporları.
  • E-posta sunucuları, e-posta protokolleri, e-posta güvenliği (örneğin, SPF, DMARC, DKIM) veya e-posta spamı ile ilgili saldırılar.
  • Hassas olmayan çerezlerde eksik çerez bayrakları.
  • Çalışan bir kavram kanıtı eşlik etmediği sürece, güvenli olmayan SSL/TLS şifrelemeleri raporları.
  • Belirli bir istemcinin bir Kommo ürününe veya hizmetine kimlik doğrulaması yapıp yapamayacağını nasıl öğrenebileceğinize dair raporlar.
  • Kod adları ve istemci adları arasındaki eşlemelerin raporları.
  • Basit IP veya port taraması raporları.
  • Eksik HTTP başlıkları (örneğin, HSTS eksikliği).
  • E-posta güvenliği en iyi uygulamaları veya kontrolleri (örneğin, SPF, DKIM, DMARC).
  • Kanıtlanmış bir güvenlik açığı olmayan yazılım veya altyapı banner'lama, parmak izi alma veya keşif.
  • Tıklama kaçırma veya kendi kendine XSS raporları.
  • Dahili ana bilgisayarlar veya altyapı için genel olarak çözümlenebilir veya erişilebilir DNS kayıtları raporları.
  • Alan tabanlı kimlik avı, yazım hatalı alan adları, punycode'lar, bit çevirmeleri veya diğer teknikler.
  • Herhangi bir yasayı ihlal etmek veya herhangi bir anlaşmayı bozmak (veya bunlara dair herhangi bir rapor).

Rapor

Bulgularınız, spekülatif bilgi içermeyen açık ve kesin belgelerle desteklenmelidir. Tüm bulgular, alaka ve etki göstergesi içermelidir. Güvenlik açığını yeniden üretmemize olanak sağlayacak şekilde, hedefi, adımları, araçları ve keşif sırasında kullanılan artefaktları içeren ayrıntılı bir güvenlik açığı özetini sağlamayı unutmayın.

Gözlemlerinizin doğru bir şekilde raporlanmasını sağlamak için yalnızca onaylanmış kanalları kullanmalısınız, yani keşfedilen güvenlik açığını adresine e-posta yoluyla bildirmelisiniz security@kommo.com