Güvenlik açığı bildirim politikası
MÜHLET, kullanıcı verilerinin güvenliğini en kritik sorumluluk olarak görür. Bu politika, sorumlu açıklama prensibi çerçevesinde güvenlik araştırmacılarının bizimle çalışma kurallarını belirler.
Kapsam
Kapsam dahili (in scope):
muhlet.com.trana site ve subdomain'ler (app,api,admin,cdn)- Mobil uygulamalar (iOS App Store + Google Play yayınlanmış sürümler)
- Tarayıcı eklentisi (Chrome Web Store + Edge Add-ons yayında olanlar)
Kapsam dışı (out of scope):
- Test/staging ortamları (
*.staging.muhlet.com.tr) - Sosyal mühendislik, fiziksel saldırılar, çalışan e-postalarına yönelik denemeler
- DoS/DDoS testleri, brute-force flood denemeleri
- 3rd party servis sağlayıcı raporları (Stripe, Twilio, Postmark, Anthropic) — onları doğrudan ilgili sağlayıcıya bildirin.
- Public bilgi açıklayıcı bug'lar (rate-limit yokluğu spam, e-posta enumeration vb. tek başına)
Bildirim kanalı
- HackerOne private program (davetli): hackerone.com/muhlet
- E-posta: security@muhlet.com.tr (tercihen PGP ile şifrelenmiş)
- security.txt (RFC 9116)
Güvenli liman
Aşağıdaki kurallara uyduğunuz sürece, raporladığınız güvenlik araştırması faaliyetlerini iyi niyetli kabul ederiz ve hukuki işlem başlatmayız:
- Yalnızca kendi hesaplarınızla veya açık izninizle test ettiğiniz hesaplarla
- Diğer kullanıcıların verilerine erişmeyin; sızdırmayın
- Sistemi bozucu / hizmeti aksatıcı eylemlerden kaçının
- Bulguyu bize ileten ilk kişi sizseniz; çoğaltmadan önce gizli tutun
- 30 gün içinde yanıt veremezsek public açıklama yapmadan önce uzatma talebi gönderin
Severity & ödül seviyeleri
| Severity | Örnekler | Ödül (TL) |
|---|---|---|
| P0 Critical | RCE, tenant boundary bypass (RLS atlama), audit chain bozma | 15.000 – 50.000 |
| P1 High | SQLi, kimlik doğrulama atlama, KVKK PII sızıntısı | 5.000 – 15.000 |
| P2 Medium | Stored XSS, CSRF auth path, IDOR (sınırlı) | 1.500 – 5.000 |
| P3 Low | Self-XSS, bilgi açığa çıkarma (sınırlı), config zayıflığı | 500 – 1.500 |
Ödüller HackerOne üzerinden TL olarak veya araştırmacının tercihine göre USD eşdeğeri ile ödenir. Vergi mevzuatı gereği gelir vergisi makbuzu kesilir.
Yanıt SLA
- İlk yanıt: 2 iş günü
- Triage: 5 iş günü
- Düzeltme (P0/P1): 7 gün
- Düzeltme (P2): 30 gün
- Düzeltme (P3): 90 gün
- Public açıklama: bug fix doğrulandıktan 30 gün sonra (araştırmacı tercihiyle)
Hall of Fame
Kabul edilmiş tüm bildirimler için, araştırmacının izni doğrultusunda Hall of Fame sayfasında teşekkürlerimizi sunarız.