SİZE NASIL YARDIMCI OLABİLİRİZ?
Weber’ın Güvenlik Açığı Bildirim Politikası
Taahhüdümüz
Verilerin güvenliğini sağlamak, Weber, müşterilerimiz ve güvenlik uzmanları için çok önemlidir. Bu nedenle, sorumlu bir bildirim politikası benimsemiş bulunuyoruz. Eğer bir güvenlik araştırmacısıysanız, bu politika, Weber’ın verileri güvenli tutma taahhüdünü onaylar ve yüksek gizlilik ve güvenlik standartlarına bağlı kalmamıza nasıl yardımcı olabileceğinizi açıklar.
Sorumlu Bildirim Politikamız
Eğer ürünlerimizde, mobil uygulamalarımızda veya web servislerimizde bir güvenlik açığı bulduğunuzu düşünüyorsanız, bunu bizimle paylaşmanızı isteriz.
Lütfen herhangi bir potansiyel güvenlik sorunu hakkında mümkün olan en kısa sürede bize bildirimde bulunun.
Bize, raporunuza yanıt vermemiz için makul bir süre tanımanızı rica ederiz (aşağıdaki Yanıt Hedeflerine bakın) ve ardından bilgiyi kamuya açıklamadan veya herhangi bir üçüncü tarafa vermeden önce yanıtımızı beklemenizi isteriz.
Süreç boyunca ilerlememiz hakkında sizi bilgilendireceğiz.
Lütfen hesap sahibinin izni olmadan kullanıcı verilerine erişmeyin, kullanmayın veya bunları değiştirmeyin.
İyi niyetle hareket edin, özellikle hizmetlerimizin performansını düşürmekten kaçının.
Lütfen hizmet reddi (DoS) saldırıları, sosyal mühendislik (örneğin phishing, vishing, smishing), fiziksel mülk veya altyapı saldırıları, üçüncü şahısların fikri mülkiyet haklarını ihlal etme, kullanıcılarımıza spam gönderme veya benzeri şüpheli davranışlarda bulunmaktan kaçının.
Geçerli, özgün ve tekrarlanabilir raporlanan sorunlar için ödül (yani ödül) teklif edebiliriz. Ödüller Weber’in tek takdirine bağlıdır.
Yanıt Hedefleri
| Yanıt Türü | İş Günü İçinde SLA |
|---|---|
| İlk Yanıt | 5 gün |
| Önceliklendirme Süresi | 10 gün |
| Ödül Süresi (geçerliyse) | 30 gün |
| Çözüm Süresi | Şiddet ve karmaşıklığa bağlı |
Kapsam Dışında Kalan Güvenlik Açıkları
Güvenlik açıklarını bildirirken lütfen (1) saldırı senaryosu / istismar edilebilirlik ve (2) hatanın güvenlik etkisini göz önünde bulundurun. Aşağıdaki sorunlar kapsam dışı kabul edilmektedir:
-
Hassas işlem olmayan sayfalarda clickjacking.
-
Kimlik doğrulaması gerektirmeyen formlarda veya hassas işlem içermeyen formlarda Cross-Site Request Forgery (CSRF).
-
Kullanıcı cihazına fiziksel erişim veya MITM saldırıları gerektiren saldırılar.
-
Çalışan bir Proof of Concept’e sahip olmayan daha önce bilinen savunmasız kütüphaneler.
-
Bir güvenlik açığı göstermeyen CSV (Comma Separated Values) enjeksiyonları.
-
SSL/TLS yapılandırmasında en iyi uygulamaların eksikliği.
-
Hizmetimizin kesintiye uğramasına neden olabilecek herhangi bir faaliyet (DoS).
-
Saldırı vektörü göstermeyen veya HTML/CSS’yi değiştiremeyen içerik sahtekarlığı ve metin enjeksiyon sorunları.
-
Kimlik doğrulama istemcisi olmayan uç noktalarda hız sınırlama veya brute-force sorunları.
-
İçerik Güvenliği Politikası’nda en iyi uygulamaların eksikliği.
-
E-posta en iyi uygulamalarının eksiklikleri (Geçersiz, eksik veya kaybolmuş SPF/DKIM/DMARC kayıtları vb.).
-
Eski veya yamalanmamış tarayıcı kullanıcılarını etkileyen güvenlik açıkları (Son kararlı sürümden 2’den daha az sürüm geride kalmış).
-
Resmi bir yamanın üzerinden 1 aydan daha az süre geçmiş olan Kamuya Açık Zero-day güvenlik açıkları, durum bazında ödüllendirilecektir.
-
Tabnabbing.
-
Açık yönlendirme – ek bir güvenlik etkisi gösterilmedikçe.
-
Kullanıcı etkileşimi gerektiren sorunlar.
Safe Harbor (Güvenli Liman)
Bu politika ile uyumlu bir şekilde gerçekleştirilen tüm faaliyetler yetkilendirilmiş faaliyet olarak kabul edilecek ve Weber, sizin aleyhinize hukuki işlem başlatmayacaktır. Eğer bu politikanın kapsamındaki faaliyetler nedeniyle üçüncü bir taraf tarafından aleyhinize hukuki işlem başlatılırsa, bu faaliyetlerin bu politika ile uyumlu olarak gerçekleştirildiğini belirtmek için adımlar atacağız.