Zafiyet Bildirim Prosedürü
Zafiyet Bildirim Prosedürü
Şampiyon olarak ağa bağlı ürünlerimizin, uygulamalarımızın ve bulut hizmetlerimizin güvenliğini ciddiye alıyor; araştırmacılardan gelecek sorumlu bildirimleri teşvik ediyoruz.
Yukarıdaki adresleri kendi kurumsal e-posta adreslerinizle güncelleyiniz.1. Amaç
Bu Zafiyet Bildirim Prosedürü; Şampiyon’un ağa bağlı ürünleri, uygulamaları ve bulut hizmetleri için yapılacak siber güvenlik araştırmalarına yönelik yol gösterir ve keşfedilen güvenlik açıklarının ilgili ekiplere nasıl bildirileceğini açıklar.
2. Genel Bakış
Şampiyon; güvenlik araştırmalarından gelen geri bildirimleri memnuniyetle karşılar ve koordineli bildirim yaklaşımını benimser. Tarafımıza iletilen zafiyet raporları, yalnızca savunma amaçlı olarak değerlendirilir ve risklerin azaltılması/düzeltilmesi için kullanılır.
Araştırmacıların herhangi bir test öncesinde bu prosedürün hükümlerini dikkatle incelemesi ve uyması beklenir.
3. Kılavuz
3.1. Şüpheli Güvenlik Sorunu Bildirme
- Şampiyon varlıklarında/sistemlerinde keşfedilen bir güvenlik açığını bildirmek için: bilgi-guvenligi@sampiyon.com.tr veya informationsecurity@sampiyon.com.tr.
- IoT ürünleri, ilişkili mobil uygulamalar veya bulut hizmetleriyle ilgili bulgular için: psirt@sampiyon.com.tr.
- Herhangi bir herkese açık paylaşım (forum, e-posta listesi vb.) yapmadan önce lütfen bize sorumlu biçimde bildirin.
- Etkilenen ürün/uygulama/hizmet ve mümkünse model/versiyon bilgisi, seri numarası vb.
- Varsa Proof of Concept (PoC) kurulum ve tekrar üretim adımları
- İlgili loglar, ekran görüntüleri, kamuya açık referanslar
- Testi gerçekleştirdiğiniz ortam/sistem ile ilgili temel bilgiler
3.2. Zafiyetin Kapsamı
Kabul Edilen Örnekler
- Kimlik doğrulama / yetkilendirme zafiyetleri
- Kriptografik zayıflıklar
- Veri sızıntısı
- URL yönlendirme suistimali (açık yönlendirme)
Kapsam Dışı Örnekler
- Konfigürasyon/versiyon kaynaklı SSL bulguları
- DoS, kullanıcı numaralandırma/kaba zorlama
- Hassas işlem içermeyen clickjacking
- Sosyal mühendislik/oltalama, içerik sahtekârlığı
- Self-XSS; (yansıyan/kalıcı/DOM XSS için PoC gereklidir)
- Düşük önem dereceli CSRF örnekleri (örn. çıkış)
- Eksik HTTP başlıkları, çerez bayrakları
- Parola karmaşıklığı/akışı, SPF kayıt eksikleri
- Banner/versiyon ifşası (istismar PoC’si yoksa)
- Otomatik tarama çıktıları, autocomplete
- Jailbreak gerektiren bulgular
Kullanıcılarımıza, sistemlerimize ve hizmetlerimize zarar verme veya veri bozma riski olan testlerden kaçının. Herhangi bir hassas veri (Kişisel Veri, finansal bilgi, ticari sır) ile karşılaşırsanız testi durdurun ve derhal bilgi-guvenligi@sampiyon.com.tr adresine bildirin. Bu prosedüre veya yasalara aykırı faaliyetler hukuki/cezai sorumluluk doğurabilir.
3.3. Zafiyetin Açıklanması
Şampiyon tarafından doğrulanan/işlenen güvenlik açıklarının kamuya açıklanmasına izin verilmez. Sorumlu açıklama için bizimle koordinasyon esastır.
4. Bizden Beklentileriniz
- Bildirilen zafiyetleri değerlendirir, riski azaltacak adımları kılavuza uygun şekilde uygularız.
- Araştırmacılarla şeffaf ve makul sürede iletişim kurarız.
- Prosedüre ve yasalara uygun hareket eden araştırmacılar aleyhine hukuki işlem başlatmayız.
5. Sorular
Prosedür veya süreç hakkında sorularınız için bizimle iletişime geçebilirsiniz:
E-posta adreslerini kurumunuzun gerçek adresleriyle güncellemeyi unutmayın.