cryptoservers.io
Sunucu başlat

Güvenlik Açıklaması

Altyapımızdaki veya hizmetlerimizdeki bir güvenlik açığını nasıl bildireceğiniz ve bundan sonra ne olacağı.

Yürürlük tarihi 2026-04-01 Son güncelleme 2026-04-22 Sürüm v2.0 İmzalayan 0xA62AEDAF647EE3E6
Cryptoservers legal and policy seal

Güvenlik açığı bildirin

cryptoservers.io'yu veya altta yatan altyapıyı etkileyen bir güvenlik açığı keşfettiğinize inanıyorsanız lütfen aşağıdaki kanallardan biri aracılığıyla bildirin:

Yanıt verme fırsatı bulmadan önce lütfen açıkları kamuya açık kanallar (GitHub sorunları, Twitter, Mastodon, destek talepleri) aracılığıyla bildirmeyin.

Kapsam

Kapsam dahilinde

  • cryptoservers.io web mülkü ve tüm alt alan adları.
  • Müşteri kontrol paneli (panel.cryptoservers.io).
  • /.well-known/ dizini ve imzalı içeriği.
  • KVM altyapımızı etkileyen hipervizör kaçış, konaktan konuğa, konuktan konuğa ve canlı göç hataları.
  • Panelde veya OAuth akışında kimlik doğrulama / yetkilendirme atlatmaları.
  • Müşteri kişisel verilerinin veya ödeme verilerinin ifşası.

Kapsam dışında

  • Altyapımızda çalışan müşteri tarafından barındırılan içerik veya müşteri tarafından işletilen hizmetler — müşteriyle doğrudan iletişime geçin veya abuse@ adresini kullanın.
  • Altyapımıza yönelik hizmet reddi testleri.
  • Personelimize yönelik sosyal mühendislik.
  • Kanıtlanabilir etkisi olmayan otomatik tarayıcılardan elde edilen bulgular.
  • Doğrudan bir güvenlik açığına yol açmayan eksik güvenlik başlıkları.
  • Çalışan bir istismar olmaksızın pazarlama yüzeylerindeki güncel olmayan yazılım sürümleri.

Bildirdikten sonra ne olur

  1. Haftanın 7 günü 24 saat içinde onay. PGP imzalı.
  2. 72 saat içinde önceliklendirme — önem derecesi değerlendirmesi ve ilk düzeltme tahmini.
  3. Düzeltme ve doğrulama — bir düzeltme yayımlıyoruz, doğrulamanızı istiyoruz, ardından üretime dağıtıyoruz.
  4. Koordineli açıklama — sizinle mutabık kalınır; genellikle düzeltme yayımlandıktan 90 gün sonra. Sizi (veya talep üzerine anonim olarak) anarak bir olay sonrası analiz yayımlayacağız.
  5. Ödül — aşağıdaki Ödül bölümüne bakınız.

Ödül ölçeği

Ödeme günündeki anlık kur üzerinden USD (banka havalesi) veya seçtiğiniz kripto para (BTC, XMR, LTC, ETH, DASH, BCH, DOGE) cinsinden ödenir.

Önem derecesi (CVSS v3.1)ÖdülÖrnek
Kritik (9,0 – 10,0)5.000 – 15.000 $Hipervizör kaçışı, panel RCE, toplu kişisel veri sızdırma
Yüksek (7,0 – 8,9)1.500 – 5.000 $Kimlik doğrulamalı RCE, panelde ayrıcalık yükseltme, iç ağa SSRF
Orta (4,0 – 6,9)300 – 1.500 $Panelde depolanan XSS, kişisel veri içermeyen IDOR
Düşük (0,1 – 3,9)50 – 300 $Açık yönlendirme, doğrudan etkisi olmayan eksik hız sınırı

Mükerrer raporlar ilk geçerli gönderim esasına göre ödüllendirilir. Bugüne kadar ödediğimiz en yüksek ödül 12.000 $ olmuştur (2025-09-11, hipervizör-canlı-göç TOCTOU). Tüm geçerli araştırmacılar, katılım tercihleri doğrultusunda Onur Listesinde yer almaktadır.

Güvenli liman

Bu politikanın kapsamı ve ruhu dahilinde yürütülen araştırma, Saint Kitts hukuku veya faaliyet gösterdiğimiz yargı bölgelerinin hukuku kapsamında yetkisiz erişim sayılmaz; iyi niyetle hareket eden araştırmacılara karşı hukuki veya cezai yola başvurmayacağız. Özellikle:

  • Etkiyi kanıtlamak için gerekenden fazla veri sızdırmayın — tek bir ekran görüntüsü yeterlidir.
  • Yıkıcı eylemler gerçekleştirmeyin (müşteri verilerini silmek, hizmetleri durdurmak, üretim durumunu değiştirmek).
  • Etki kanıtlandığı anda durun ve bildirin.
  • Koordineli açıklama tarihinden önce bulguları üçüncü taraflarla paylaşmayın.

İyi niyetle kapsam dışına çıkarsanız bizi hemen bilgilendirin; birlikte çözeceğiz.

Bu belge v2.0, yürürlüktedir 2026-04-01, son güncelleme 2026-04-22. PGP imzalı sürüm talep üzerine mevcuttur: [email protected].