Güvenlik Açığı Bildirim Politikası (Vulnerability Disclosure Policy)
Son güncelleme: 17.02.2026 · Sürüm: 1.0
Bu politika; WIN platformu (“Platform”) üzerinde veya Platform’a bağlı altyapılarda tespit edilen güvenlik açıklarının ve güvenlik zafiyetlerinin nasıl bildirileceğini, bu bildirimlerin nasıl değerlendirileceğini ve giderileceğini, güvenlik araştırmacılarının hangi sınırlar içinde test yapabileceğini ve tarafların temel yükümlülüklerini açıklar.
Bu metin; kullanıcı şikayetleri, içerik ihlali bildirimleri veya genel destek talepleri için değil, teknik güvenlik açıkları (örn. yetkisiz erişim, veri ifşası, hesap ele geçirme, yetki yükseltme, iş mantığı zafiyetleri, kriptografi/kimlik doğrulama hataları) için hazırlanmıştır.
- Bir güvenlik açığı bulduysanız, lütfen kamuya açıklamadan önce bize bildirin: support@whoisnextapp.com (tercihen şifreli/PGP). - Sosyal mühendislik, DDoS/DoS, kötü amaçlı yazılım, hesap ele geçirme ve kullanıcı verisine erişim teşebbüsü yasaktır. - Testlerinizi en az etki ile ve yalnızca gerekli asgari adımlarla gerçekleştirin; Platform’u daha zayıf bir durumda bırakmayın. - İstemeden kişisel veriye veya özel içeriğe erişirseniz: derhal durun, veriyi çoğaltmayın/indirmeyin, bize bildirin ve talebimiz üzerine güvenli şekilde silin. - Bu politika; KVKK, TCK (özellikle özel hayat/haberleşme gizliliği) ve GDPR/DSA çerçevesi ile uyumlu, “iyi niyetli sorumlu açıklama (responsible disclosure)” yaklaşımını benimser.
İlişkili dokümanlar
Bu politika aşağıdaki WIN dokümanlarıyla birlikte okunmalıdır:
Bölüm 1: Amaç, kapsam ve dayanak
Bu bölümde politikanın (i) amacı, (ii) hangi varlıkları kapsadığı, (iii) bildirim kanalının hangi konular için kullanılacağı ve (iv) temel mevzuat/ilke çerçevesi açıklanır.
1.1 Amaç
Bu politikanın amaçları:
- Platform’un ve kullanıcıların güvenliğini artırmak,
- Güvenlik açıklarının hızlı, kontrollü ve ölçülü şekilde giderilmesini sağlamak,
- Araştırmacılar için net bir bildirim kanalı ve standart bir süreç oluşturmak,
- Bildirimlerin kötüye kullanımını (şantaj, veri sızdırma, panik yaratma vb.) önlemek,
- (Uygulanabilir olduğu ölçüde) KVKK/GDPR kapsamındaki veri güvenliği ve bildirim yükümlülükleri bakımından hesap verebilirliği güçlendirmektir.
1.2 Kapsam (hangi tür güvenlik bildirimi?)
Bu politika, aşağıdaki tür güvenlik bildirimlerini kapsar (sınırlı olmamak üzere):
- Yetkilendirme (authorization) zafiyetleri (IDOR, broken access control),
- Kimlik doğrulama oturumu zafiyetleri (session fixation, token sızıntısı, MFA bypass),
- Hesap ele geçirme (account takeover) riskleri (örn. doğrulama akışı zafiyeti),
- Kişisel veri / hassas veri ifşası (KVKK/GDPR riskleri),
- İş mantığı (business logic) zafiyetleri (ödeme/abonelik, güvenlik doğrulama, kullanıcı engelleme vb.),
- Mobil uygulama zafiyetleri (insecure storage, improper certificate validation vb.),
- API zafiyetleri (rate-limit bypass, object-level authorization),
- Kriptografi ve anahtar yönetimi hataları (uygulanabilir ise),
- Üçüncü taraf tedarikçi/SDK kaynaklı güvenlik riskleri (etkisi Platform’a yansıyorsa).
Bu kanal; genel müşteri desteği, hesap şifre sıfırlama, içerik şikayeti, taciz/tehdit raporu, faturalama anlaşmazlığı veya “ürün önerisi” gibi konular için tasarlanmamıştır. Bu tip talepler için ilgili destek kanallarını kullanın (bkz. Kullanım Koşulları ve ilgili yardım merkezi/iletişim alanı).
1.3 Kapsam içi varlıklar (in-scope)
WIN’in teknik mimarisi ve yayımladığı ürünler zaman içinde değişebilir. Genel yaklaşım:
- Mobil uygulamalar: WIN iOS ve Android uygulamaları (resmî mağaza sürümleri),
- Web alanları: whoisnextapp.com ve ilgili alt alan adları,
- API uçları: api.whoisnextapp.com ve Firebase endpoint’leri,
- Dokümantasyon portalı: bu portalın alan adı ve içerikleri.
Kapsam içi varlık listesi
- Web: whoisnextapp.com, legal.whoisnextapp.com
- API: api.whoisnextapp.com, Google Firebase (EU) altyapısı
- Mobil: Apple App Store ve Google Play Store resmi sürümleri
Test ortamları: Şu an için ayrı bir test/staging ortamı açık değildir; ileride açılması planlanabilir. Özel test gereksinimleriniz varsa, bildirim sırasında iletişim kurarak birlikte çözüm aranabilir.
1.4 Kapsam dışı (out-of-scope) — genel kurallar
Aşağıdaki faaliyetler, iyi niyetli araştırma kapsamında dahi kapsam dışıdır ve kabul edilmez:
- DDoS/DoS veya hizmeti kesintiye uğratmaya yönelik stres testleri,
- Sosyal mühendislik (phishing, vishing, smishing) ve çalışan/tedarikçi hedefleme,
- Fiziksel saldırılar (cihaz çalma, ofise erişim, donanım müdahalesi),
- Kötü amaçlı yazılım yerleştirme veya kalıcı arka kapı oluşturma,
- Kullanıcı verilerini indirme/çoğaltma (yalnızca etkisini göstermek için asgari kanıt yeterlidir),
- Üçüncü taraf sistemlerine (örn. App Store/Google Play, ödeme sağlayıcıları) yönelik saldırılar (Platform’a doğrudan ve somut etkisi yoksa),
- Otomatik tarama ve yüksek hacimli istek gönderimi (ön onay alınmadan).
Küçük ölçekli, hizmeti etkilemeyecek ve veri güvenliğini riske atmayacak otomasyonlar (örn. sınırlı sayıda endpoint’te header kontrolü) bazı programlarda kabul edilebilir. WIN özelinde otomasyon/tarama planınız varsa, önceden yazılı onay alınmadan ilerlemeyin.
1.5 Dayanak ve uyum çerçevesi (genel atıf)
Bu politikanın hazırlanmasında ve uygulanmasında, özellikle aşağıdaki düzenlemeler ve ilkeler dikkate alınır:
- 6698 sayılı KVKK (kişisel verilerin hukuka uygun işlenmesi ve veri güvenliği),
- KVKK Aydınlatma Yükümlülüğü Tebliği (şeffaflık yaklaşımıyla bağlantılı),
- 5237 sayılı TCK (özellikle Md. 132–140 kapsamında haberleşmenin/özel hayatın gizliliği ve kişisel verilerin hukuka aykırı elde edilmesi/ifşası riskleri),
- 5651 sayılı Kanun (yer sağlayıcı yükümlülükleri ve trafik verisi/log yaklaşımı),
- 5809 sayılı Elektronik Haberleşme Kanunu (iletişim altyapısı ve güvenliğiyle bağlantılı değerlendirmeler),
- GDPR ve DSA (AB kullanıcıları/AB’ye yönelim ve şeffaflık/bildirim mekanizmaları bakımından).
Not: Bu liste örnek olup, WIN’in faaliyet gösterdiği ülkelere ve teknik mimariye göre ek mevzuat devreye girebilir.
Bölüm 2: Tanımlar
Bu bölümde, politika boyunca kullanılan temel kavramlar tanımlanır.
| Terim | Açıklama |
|---|---|
| Güvenlik açığı / zafiyet | Yetkisiz erişim, veri ifşası, hizmetin bütünlüğünün bozulması veya kullanıcı güvenliğinin zedelenmesiyle sonuçlanabilecek teknik veya iş mantığı hatası. |
| Bildirim (rapor) | Araştırmacının bir zafiyeti, teknik ayrıntılarıyla birlikte WIN’e ilettiği yazılı bildirim. |
| Araştırmacı / bildirici | Zafiyeti tespit edip iyi niyetle WIN’e bildiren kişi/ekip. |
| Kişisel veri | KVKK/GDPR kapsamında kimliği belirli/belirlenebilir kişiye ilişkin her türlü bilgi. |
| Hassas nitelikli veri | KVKK/GDPR kapsamında özel nitelikli/özel kategori veri (örn. biyometrik veri). |
| Kapsam (scope) | Araştırmanın yapılabileceği varlıklar ve izin verilen test sınırları. |
| Good‑faith / iyi niyetli araştırma | Kullanıcı güvenliğini tehlikeye atmadan, veri minimizasyonu ve zarar vermeme ilkeleriyle, raporlama amacıyla yürütülen araştırma. |
| Sorumlu açıklama | Zafiyetin, giderilmeden önce kamuya açıklanmaması; giderim sürecinin koordineli yürütülmesi yaklaşımı. |
Bölüm 3: Bildirim kanalları ve iletişim
Bu bölüm, güvenlik açıklarının hangi kanallardan bildirileceğini ve güvenli iletişim seçeneklerini açıklar.
3.1 Güvenlik ekibi iletişim noktası
- E‑posta: support@whoisnextapp.com — Hassas bilgiler için tercihen PGP ile şifreli iletişim önerilir. - Kabul edilen diller: Türkçe, İngilizce veya herhangi bir dilde rapor iletilebilir. - Yapılandırılmış bildirim: Güvenlik Açığı Bildirim Formu doldurulup tarayarak aynı adrese gönderilebilir. - security.txt: Araştırmacılar, whoisnextapp.com (opens in a new tab)/.well-known/security.txt ve legal.whoisnextapp.com (opens in a new tab)/.well-known/security.txt adreslerinden politika ve iletişim bilgilerine erişebilir (RFC 9116).
Teknik güvenlik açıkları (yetkisiz erişim, veri ifşası, auth bypass vb.) için bu politika kapsamında support@whoisnextapp.com kanalını kullanın.
3.2 Yanlış kanal örnekleri
- Hesap erişimi/şifre unutma: Uygulama içi "Yardım/Destek" kanalları
- İçerik/kişisel güvenlik şikayetleri: uygulama içi “Bildir/Şikayet Et” akışı (bkz. Topluluk Kuralları)
- Resmî makam talepleri: bkz. Kolluk Kuvvetleri Rehberi
Bölüm 4: Güvenli ve etik araştırma kuralları
Bu bölüm, araştırmacıların uyması gereken davranış kurallarını (yapılması gerekenler / yapılmaması gerekenler) ve veri minimizasyonu yaklaşımını belirler.
4.1 Temel prensipler
Araştırma yürütürken şu prensipleri esas alın:
- Zarar vermeme: Platform’u kesintiye uğratmayın; performansı düşürmeyin.
- Veri minimizasyonu: Etkiyi kanıtlamak için gereken asgari kanıtla yetinin.
- Gizlilik: Erişebileceğiniz herhangi bir veri/içeriği üçüncü kişilerle paylaşmayın.
- İyi niyet: Hedefiniz düzeltme ve güvenlik iyileştirmesi olmalı; şantaj/tehdit yasaktır.
4.2 Yapılmaması gerekenler (yasaklı faaliyetler)
Aşağıdakiler yasaktır ve raporun işleme alınmamasına, hesabınızın kısıtlanmasına ve/veya hukuki yollara başvurulmasına neden olabilir:
- Toplu hesap oluşturma veya sahte hesaplarla sistematik kötüye kullanım,
- Otomatik tarama/yüksek hacimli istek gönderme (ön onay olmadan),
- Sosyal mühendislik (phishing/vishing/smishing), çalışan veya kullanıcı hedefleme,
- DoS/DDoS, kaynak tüketimi, spam,
- Kötü amaçlı yazılım veya kalıcılık (persistence) girişimleri,
- Başkalarının hesabına erişim denemeleri, parola tahmini, credential stuffing,
- Kullanıcı verisini indirme/çoğaltma, mesajları okuma, foto/video arşivleme,
- “Pivoting” (başka sistemlere sıçrama) ve gereksiz yetki yükseltme denemeleri,
- Açığı “satma”, broker’lara iletme veya kamuya açıklama.
4.3 Kişisel veri / özel içerik ile karşılaşılırsa (zorunlu davranış)
İstemeden kişisel veriye veya özel içeriğe erişirseniz:
Adım 1: Derhal durun
Erişimi genişletmeyin; ek hesap/endpoint denemeleri yapmayın.
Adım 2: Veriyi çoğaltmayın
İndirmeyin, ekran görüntüsü sayısını asgari tutun, paylaşmayın.
Adım 3: Güvenlik ekibine bildirin
Elde ettiğiniz minimum kanıtla birlikte hemen bildirin.
Adım 4: Güvenli silme
Talebimiz üzerine, raporla ilgili verileri güvenli ve geri döndürülemez şekilde silin.
Özel hayatın/haberleşmenin gizliliği ve kişisel verilerin korunması; KVKK ve TCK çerçevesinde yüksek hassasiyet taşır. Bu nedenle “kanıt toplama” gerekçesiyle kullanıcı verisinin kapsamlı şekilde kopyalanması kabul edilmez.
Bölüm 5: Rapor içeriği (minimum gereksinimler)
Bu bölüm, bir raporun hızlıca doğrulanabilmesi için hangi bilgileri içermesi gerektiğini listeler.
5.1 Rapor kontrol listesi
Raporunuzda mümkünse şu unsurlar bulunsun:
- Özet başlık (tek cümle),
- Etkilenen varlık (domain, uygulama sürümü, endpoint, ekran),
- Zafiyet türü (örn. IDOR, auth bypass, bilgi ifşası),
- Adım adım yeniden üretim (repro steps),
- Beklenen vs gerçekleşen davranış,
- Etkisi (en kötü senaryo + pratik etki),
- İstismar edilebilirlik (hangi koşullarda?),
- Kanıt (asgari ekran görüntüsü/video/PoC kodu),
- Önerilen düzeltme,
- İletişim bilgileri (geri dönüş için) ve tercih edilen dil.
5.2 Hassas bilgileri güvenli paylaşma
Raporunuzda yer alabilecek erişim belirteçleri (token), test hesabı bilgileri veya loglar; mümkünse:
- ayrı bir dosyada,
- şifreli biçimde,
- parolası farklı kanaldan iletilerek
paylaşılmalıdır.
Bölüm 6: WIN’in değerlendirme ve çözüm süreci
Bu bölüm, WIN’in raporu aldıktan sonra izlediği uçtan uca süreci ve hedef geri dönüş zamanlarını açıklar (hedef süreler “SLA” değil, operasyonel hedeflerdir).
6.1 Süreç akışı
Gelen güvenlik açığı bildirimleri, Platform'un WIN Ekibi tarafından öncelikli olarak değerlendirilir ve ilgili birimlere koordine edilir.
Adım 1: Alındı onayı
Rapor kayda alınır ve bildiriciye alındı bilgisi iletilir.
Adım 2: Ön değerlendirme ve kapsam kontrolü
Raporun kapsam içi olup olmadığı ve temel tekrar üretilebilirlik kontrol edilir; eksik bilgi varsa talep edilir.
Adım 3: Teknik doğrulama ve sınıflandırma
Zafiyet doğrulanır; etki ve şiddet sınıfı belirlenir; gerekiyorsa geçici önlem uygulanır.
Adım 4: Düzeltme ve test
Düzeltme geliştirilir; regresyon ve güvenlik testleri yapılır.
Adım 5: Yayına alma ve izleme
Düzeltme üretime alınır; anomali izleme ve ek kontroller yapılır.
Adım 6: Kapanış ve geri bildirim
Bildiriciye sonuç bilgisi verilir; uygunsa teşekkür/credit süreci işletilir.
6.2 Hedef yanıt süreleri
- Alındı onayı: 3 iş günü
- İlk teknik değerlendirme: 7-14 iş günü
- Durum güncellemesi: Sürecin karmaşıklığına göre belirli aralıklarla.
Not: Bazı zafiyetler; tedarikçi bağımlılığı, mimari değişiklik veya mağaza onay süreçleri nedeniyle daha uzun sürebilir. Bu durumda bildirici düzenli olarak bilgilendirilir.
Bölüm 7: Şiddet (severity) sınıflandırması ve önceliklendirme
Bu bölüm, zafiyetlerin nasıl önceliklendirildiğini ve örnek hedef düzeltme sürelerini açıklar.
WIN, önceliklendirmede (uygulanabilir ise) CVSS gibi standartları ve kendi risk değerlendirmesini birlikte kullanabilir.
| Seviye | Örnekler | Hedef giderim yaklaşımı |
|---|---|---|
| Kritik | Toplu veri ifşası, kimlik doğrulama bypass, uzaktan kod çalıştırma, sistematik hesap ele geçirme | 24-72 saat içinde acil düzeltme/mitigasyon |
| Yüksek | Tekil kullanıcı verisi ifşası (yüksek etki), yetki yükseltme, ödeme/abonelikte kritik mantık açığı | 1-7 iş günü |
| Orta | Sınırlı kapsamlı veri ifşası, belirli koşullarda istismar edilebilir zafiyet | 7-30 iş günü |
| Düşük | Düşük etkili hatalar, savunma derinliği iyileştirmeleri | Planlı iyileştirme döngüsü |
Tek başına “versiyon bilgisi ifşası”, “güvenlik header’ı eksikliği” (somut istismar olmadan), “self‑XSS”, “clickjacking sadece teorik”, “hizmeti yavaşlatan tarama raporları” gibi bulgular; çoğu programda ödül/eşik kapsamına girmez. WIN, etki ve istismar senaryosuna göre değerlendirme yapar.
Bölüm 8: Gizlilik, kamuya açıklama ve koordinasyon
Bu bölüm, raporlanan zafiyetin kamuya açıklanması (public disclosure) konusundaki kuralları ve koordinasyon yaklaşımını belirler.
8.1 Kamuya açıklama yasağı (varsayılan kural)
Bildirilen zafiyet, WIN tarafından yazılı olarak izin verilmedikçe:
- sosyal medya, blog, konferans konuşması,
- CVE yayını,
- üçüncü taraf broker/marketplace paylaşımı
gibi yollarla kamuya açıklanmamalıdır.
8.2 Koordineli açıklama (responsible disclosure)
WIN; düzeltme yayımlandıktan sonra, uygun görülen hallerde:
- bildiricinin teknik yazı yayımlamasına,
- açıklamada belirli detayların maskelenmesine,
- yayımlama tarihinin karşılıklı planlanmasına
yaklaşım olarak olumlu bakar. Koordinasyon, zafiyetin etkisine ve kullanıcı güvenliği riskine göre yürütülür.
Süre beklentisi: Sektör uygulamalarına uygun olarak, düzeltme sonrası kamuya açıklama için genelde 90 gün hedeflenir; bu süre zafiyetin karmaşıklığına ve tedarikçi bağımlılıklarına göre karşılıklı mutabakatla esnetilebilir.
Bölüm 9: Ödül / teşekkür (opsiyonel)
Bu bölüm, teşekkür ve ödül yaklaşımını açıklar. Ödüller zafiyetin etkisine göre değişebilir; detaylar için iletişim kurulabilir.
WIN, iyi niyetli araştırma kapsamında iletilen, benzersiz, etkisi kanıtlanmış ve kapsam içi geçerli teknik güvenlik açıkları için teşekkür ve ödül yaklaşımına önem verir. Bu konuda gerekli özeni gösterir ve cömert bir değerlendirme hedefler.
- Ödül türleri: Ödüller (örn. ek deck görme hakkı, Premium avantajları veya benzeri bonuslar) zafiyetin şiddetine ve etkisine göre değişebilir; her bulgu aynı derecede ödüllendirilmez.
- Esneklik: Ödül türleri ve miktarları zaman içinde güncellenebilir. Detaylar için bildirim sonrasında iletişim kurulabilir.
- Uygulama: Ödüller, zafiyetin doğrulanması ve giderilmesi aşamasından sonra, bildiricinin WIN hesabı varsa tanımlanır.
- Aynı zafiyeti ilk bildiren kişi/ekip önceliklidir. - Raporun yeniden üretilebilir, etkiyi gösterir ve kapsam içi olması gerekir. - Kural ihlali (otomasyon, veri kopyalama, şantaj vb.) ödül/teşekkür uygunluğunu ortadan kaldırabilir.
Bölüm 10: Güvenli liman (safe harbor) ve hukuki çerçeve
Bu bölüm, iyi niyetli araştırma yapan kişiler için güvenli liman yaklaşımını ve bu yaklaşımın sınırlarını açıklar.
WIN, bu politika kapsamında:
- yalnızca kapsam içi varlıklarda,
- yalnızca gerekli asgari adımlarla,
- kullanıcı verisine zarar vermeden ve kötüye kullanım olmaksızın
iyi niyetli araştırma yapan bildiricilerle iş birliği yapmayı hedefler.
Bu politika; hiçbir kişiye sınırsız test yetkisi vermez ve aşağıdaki durumlarda güvenli liman uygulanmaz:
- DoS/DDoS, sosyal mühendislik, şantaj, veri sızdırma
- kullanıcı verisinin kapsamlı şekilde kopyalanması/çoğaltılması
- üçüncü taraf sistemlere saldırı
- kötü amaçlı yazılım veya kalıcılık girişimleri
- yürürlükteki mevzuata aykırılık
Not: WIN, KVKK/GDPR ve TCK/5651 gibi düzenlemeler çerçevesinde kullanıcı güvenliğini ve veri güvenliğini korumakla yükümlüdür. Bu nedenle güvenlik araştırmaları, her hâlükârda hukuka uygun ve ölçülü yürütülmelidir.
Bölüm 11: Gizlilik ve veri silme yükümlülüğü
Bu bölüm, bildirim sürecinde elde edilebilecek bilgilerin gizliliğini ve rapor kapanışında veri silme yaklaşımını düzenler.
Araştırma sürecinde elde edilebilecek her türlü bilgi (sistem detayları, loglar, konfigürasyonlar, kullanıcı verileri vb.) gizli kabul edilir ve yalnızca bu politika kapsamındaki bildirimin amacı için kullanılmalıdır.
WIN; raporun doğrulanması ve giderim için artık gerekli olmadığında, bildiriciden:
- raporla ilgili verileri güvenli şekilde silmesini,
- elinde kalan örnek kayıtları/çıktıları geri döndürülemez biçimde imha etmesini
talep edebilir.
Bölüm 12: Üçüncü taraflar ve tedarikçi zafiyetleri
Bu bölüm, üçüncü taraf servislerdeki bulguların nasıl ele alınacağını açıklar.
WIN; Firebase, analiz/çökme raporlama, doğrulama/liveness, ödeme altyapısı ve benzeri üçüncü taraf servisler kullanabilir. Bir bulgu üçüncü tarafı ilgilendiriyorsa:
- bulgunun Platform’a etkisini bize bildirin,
- üçüncü tarafın kendi güvenlik bildirim kanalına da iletilmesi gerekebilir,
- üçüncü tarafla paylaşılacak bilgi, veri minimizasyonu ilkesine uygun olmalıdır.
Bölüm 13: Değişiklikler
Bu bölüm, politikanın güncellenmesi ve yürürlük yaklaşımını açıklar.
WIN; mevzuat değişiklikleri, güvenlik standartları, teknik mimari veya operasyonel ihtiyaçlar nedeniyle bu politikayı güncelleyebilir. Güncel sürüm, uygulama içi "Yasal" alanında ve whoisnextapp.com (opens in a new tab) üzerinde yayımlanır.
Bölüm 14: İletişim
- Güvenlik açığı bildirimi: support@whoisnextapp.com — Güvenlik Açığı Bildirim Formu doldurulup tarayarak aynı adrese gönderilebilir. Hassas bilgiler için tercihen PGP ile şifreli iletişim önerilir.
- Genel destek / hesap: Uygulama içi Yardım veya İletişim ekranları; support@whoisnextapp.com (bkz. Kullanım Koşulları Bölüm 16.4).
- Abonelik / ödeme: legal@whoisnextapp.com (bkz. Abonelik ve Satın Alma Koşulları).