Güvenlik Bildirim Politikası
Crisis Connect açık kaynak mobil kod, offline ağ iletişimi, Firebase destekli kurtarma iş akışları, rol doğrulama ve web varlıkları içeren bir acil durum iletişim ürünüdür. Kullanıcıları ve müdahale ekiplerini korumaya yardımcı olan iyi niyetli güvenlik bildirimlerini memnuniyetle karşılarız.
Politika Bölümleri
Özel olarak bildirin
Açık ayrıntılarını veya exploit bilgilerini inceleme ve düzeltme tamamlanmadan herkese açık şekilde paylaşmayın.
1. Kapsam Dahilindeki Varlıklar
Bu politika crisisconnect.network, crisisconnect.com.tr, public web sitesi, Crisis Connect mobil uygulamaları, açık kaynak Android kod tabanı, Firebase destekli uygulama servisleri, rol sertifikası ve kurtarma yetkilendirme akışları ile resmi destek veya indirme kanallarını kapsar.
Üçüncü taraf altyapılar, açıkça izin vermediğimiz sürece ilgili üçüncü tarafın kendi güvenlik açığı bildirim programına tabidir.
2. Güvenlik Açığı Nasıl Bildirilir
Güvenlik açıklarını security@crisisconnect.network adresine, yeniden üretmemize yetecek ayrıntılarla gönderin.
- Etkilenen varlığı, uygulama sürümünü, cihaz veya tarayıcıyı, hesap tipini ve ortamı belirtin.
- Güvenli olduğu ölçüde yeniden üretim adımlarını, ekran görüntülerini, logları, kavram kanıtını ve beklenen etkiyi ekleyin.
- Kişisel verileri, gerçek acil durum içeriklerini, erişim tokenlarını, özel anahtarları ve ilgisiz sırları maskeleyin.
- Exploit ayrıntılarını herkese açık GitHub issue'larında, sosyal medyada, uygulama yorumlarında veya topluluk kanallarında paylaşmayın.
3. Araştırma Kuralları
Güvenlik testleri zarar vermeyen, ölçülü ve yalnızca kullanma yetkiniz olan sistem ve hesaplarla sınırlı olmalıdır.
- Size ait olmayan veriye erişmeyin, kopyalamayın, değiştirmeyin, silmeyin veya dışarı aktarmayın.
- Servis erişilebilirliğini bozmayın, yakındaki kullanıcılara spam göndermeyin, kablosuz iletişimi engellemeyin veya acil iş akışlarına müdahale etmeyin.
- Fiziksel güvenlik atlatma, sosyal mühendislik veya izinsiz üçüncü taraf testi yapmayın.
- Hassas veri, aktif acil durum verisi veya güvenliği etkileyen bir durum görürseniz testi durdurup hemen bize bildirin.
4. Kapsam Dışı Bildirimler
Bazı bulgular faydalı bağlam sağlayabilir ancak net exploit yolu yoksa genellikle kapsam dışıdır.
- Doğrulanmamış otomatik tarama çıktıları.
- Sosyal mühendislik, phishing, fiziksel saldırılar veya hizmet engelleme testleri.
- Gerçekçi saldırı yolu olmayan eksik güvenlik header'ları veya cookie flag'leri.
- Yalnızca güncel olmayan, root edilmiş, değiştirilmiş APK'lı cihazları veya kullanıcı kontrolündeki local storage'ı etkileyen ve yetki yükseltmeyen sorunlar.
- Firebase, uygulama mağazaları, harita sağlayıcıları, analitik sağlayıcıları veya kontrolümüz dışındaki üçüncü taraf sistemlere yönelik raporlar.
5. İyi Niyetli Araştırma
İyi niyetle hareket eder, bu politikaya uyarsanız, gizlilik ve güvenlik zararından kaçınır ve bulguları zamanında bildirirseniz yalnızca araştırma faaliyeti nedeniyle size karşı hukuki işlem başlatmayı amaçlamayız. Bu izin; hukuka aykırı davranışı, veri kötüye kullanımını, şantajı, koordinasyonsuz kamuya açıklamayı veya kapsam dışı faaliyeti kapsamaz.
6. İnceleme Sürecimiz
Güvenilir raporları teyit etmeyi, önem derecesini değerlendirmeyi, etkilenen bileşenleri incelemeyi, doğrulanmış sorunları düzeltmeyi ve uygun olduğunda açıklama koordinasyonu yapmayı hedefleriz.
7. İletişim
Güvenlik bildirimleri için ana iletişim kanalımız:
Auralis Security