1. AMAÇ:
Bu Zafiyet Bildirim Prosedürü, ağa bağlı ürünlerimizin, uygulamalarımızın ve bulut hizmetlerimizin güvenliğini artırmaya yönelik siber güvenlik araştırması için yönergeler sağlar. Bu Zafiyet Bildirim Prosedürü ayrıca araştırmacılara keşfedilen güvenlik açıklarını ilgili ekibe nasıl bildirecekleri konusunda talimat verir.
2. GENEL BAKIŞ
Arçelik olarak güvenlik konularını son derece ciddiye alıyoruz ve ağa bağlı ürünlerimizin, uygulamalarımızın ve bulut hizmetlerimizin güvenliğini artırmak için güvenlik araştırmalarından gelen geri bildirimleri memnuniyetle karşılıyoruz. Güvenlik zafiyetleri ve sorunlarına ilişkin raporları yönetebilmek için koordineli bir bildirme prosedürü uyguluyoruz. Bu prosedür kapsamında bize gönderilen güvenlik zafiyetleri, ağlarımız ve hizmetlerimizdeki güvenlik açıklarını azaltmak veya düzeltmek için savunma amaçlı olarak kullanılacaktır.
Araştırmacılar, ağa bağlı ürünlerimiz, uygulamalarımız ve bulut hizmetlerimiz üzerinde herhangi bir araştırma veya test gerçekleştirmeden önce bu Zafiyet Bildirim Prosedürünün aşağıdaki hüküm ve koşullarını incelemeli ve bunlara uymalıdır.
3. KILAVUZ
3.1. Şüpheli Güvenlik Sorunu Bildirme
Bir Arçelik varlığında / sisteminde keşfedilen bir güvenlik açığını bildirmek için lütfen to BilgiGuvenligi@arcelik.com veya informationsecurity@arcelik.com adresine bir e-posta gönderin.
IoT ürünlerimizden biri, ilgili mobil uygulamaları veya ilgili bulut hizmetleri hakkında bir güvenlik açığı keşfettiyseniz, lütfen raporunuzu psirt@homewhiz.com adresine gönderin.
Lütfen güvenlik açığını duyuru panolarında, e-posta listelerinde veya diğer forumlarda herkese açık hale getirmeden önce bizimle paylaşın.
Kredi almak için güvenlik açığını ilk bildiren siz olmalısınız ve aşağıdakilere uygun olarak bizi bilgilendirmelisiniz;
-
Keşfedilen sorunun temel ayrıntılarını sağlamanız gerekir, genel anlamda;
-
Etkilenen ürünün/uygulamanın/hizmetin adı/türü, ayrıca belirli model numarası, seri numarası vb.
-
Herhangi bir Proof of Concept(POC) kurulum ayrıntıları
-
Sorunun yeniden oluşturma adımlarının açıklaması
-
Halka açık referanslar, eğer mevcutsa.
-
Testin yürütüldüğü sistem ile ilgili detaylar
Zafiyet Bildirim Prosedürünü takiben, raporunuz bize ulaştıktan sonra maksimum 48 iş saati içinde size geri dönüş yapacağız. Bildirilen güvenlik sorunu, güvenlik açığı raporunun etkisine, ciddiyetine ve zafiyetin karmaşıklığına bakılarak onaylanacak; olası güvenlik açığını çözmek için 90 gün içinde daha fazla katkınızı isteyebiliriz.
3.2. Zafiyetin Kapsamı
3.2.1. Kabul Edilen Zafiyetler
Kimlik doğrulama/yetkilendirme, kriptografi, veri sızıntısı ve URL yeniden yönlendirici suistimali gibi kanıtlanmış orta/yüksek etkili güvenlik açıkları hakkında bilgilendirilmeye hazırız.
3.2.2. Kapsam Dışında Kalan Zafiyetler
-
Yapılandırma veya versiyonla ilgili SSL zafiyetleri
-
Denial of Service (DoS)
-
Kullanıcı numaralandırma/Kaba zorlama (örneğin Oturum Açma ve Parolamı Unuttum sayfası)
-
HTTP İzleme yöntemi etkinleştirilmesi.
Bir saldırı gerçekleştirebiliyorsanız, bu uygulamaya hakkınız olur.
-
Herhangi bir kimlik doğrulama ve/veya hassas durum değişikliği olmaksızın sayfalarda clickjacking (tık hırsızlığı).
-
Sosyal Mühendislik/Oltalama
-
İçerik Sahtekarlığı/Dolandırıcılığı
-
Self-XSS. Cross-site scripting issues, yansıyan, depolanan veya DOM tabanlı türlerde kullanılabilir olmalıdır.
-
Çıkış yapmak ve diğer düşük önem dereceli CSRF örnekleri
-
Eksik HTTP başlıkları
-
Çerezlerde eksik çerez bayrakları
-
Parola karmaşıklığı ve parola akışı karmaşıklığını sıfırlama
-
Geçersiz veya eksik SPF (Sender Policy Framework) kayıtları
-
Yazılım afişi / versiyon bildirimi.
Bunlar, istismar edilebilir bir POC sağlayabiliyorsanız uygun olur.
-
Otomatik araçların veya tarayıcıların sonuçları
-
Web formlarında otomatik tamamlama özelliği
-
Jailbreak yapılmış bir cihaz gerektiren güvenlik açıkları
Sizlerden gelen her zafiyeti değerli bulsak da kullanıcılarımıza, sistemlerimize ve hizmetlerimize zarar verebilecek ve veri bozma ihtimali taşıyan her türlü güvenlik araştırmasından uzak durmanızı rica ederiz. Ayrıca, bir araştırmacı herhangi bir hassas veri (kişisel olarak tanımlanabilir bilgiler, finansal bilgiler veya herhangi bir tarafın özel bilgileri veya ticari sırları) içeren bir zafiyet tespit ederse, testi durdurmalı ve zafiyet bildirme sürecimiz aracılığıyla ilgili e-posta adresine derhal haber vermelidir ve bu verileri başka hiç kimseye ifşa etmemelidir. Bir araştırmacının bu prosedüre veya yürürlükteki diğer yasalara aykırı herhangi bir faaliyette bulunması halinde, araştırmacı cezai ve/veya hukuki sorumluluğa tabi olabilir.
3.3. Zafiyetin Açıklanması
Bizim tarafımızdan onaylanan/işlenen güvenlik açıklarının kamuya açıklanmasına hiçbir koşulda izin verilmez.
4. BİZDEN BEKLENTİLERİNİZ
Arçelik olarak, aldığımız zafiyet bildirimlerini göz önünde bulundurarak riski azaltmak ve bildirilen zafiyetleri düzeltmek için kılavuza uygun olarak gerekli adımları atacağız.
Arçelik, güvenlik araştırmacısı/araştırmacıları ile olabildiğince şeffaf ve hızlı bir şekilde iş birliği yapma taahhüdünde bulunur.
Araştırmacının zafiyet bildirim faaliyetlerini prosedürümüz ve yürürlükteki yasalara uygun olarak gerçekleştirmesi durumunda, Arçelik bu tür faaliyetlerle ilgili herhangi bir kanun yaptırımı başlatmayacaktır.
5. SORULAR
Prosedür veya süreç hakkında herhangi bir sorunuz varsa, bizimle iletişime geçmekten çekinmeyin:
Zafiyet Bildirim Prosedürü