Güvenlik Açığı Açıklama Politikası

Zoom Güvenlik Ekibi kullanıcılarımızı ve verilerini korumayı taahhüt eder. Bağımsız güvenlik araştırma topluluğunun internet güvenliğine çok önemli bir katkı sağladığına inanıyoruz ve potansiyel güvenlik sorunlarına ilişkin raporları memnuniyetle karşılıyoruz.

Bu plan, güvenlik araştırmacılarının etik araştırma yürütmesi ve güvenlik açıklarının Zoom'a bildirilmesini koordine etmesi için yönergeler sağlar.

Bu planı, değerlerimizi yansıtmak ve uzmanlıklarını bizimle paylaşan güvenlik araştırmacılarına karşı duyduğumuz sorumluluğu devam ettirmek için geliştirdik. Güvenlik araştırmacılarını, keşfettikleri potansiyel güvenlik açıklarını düzeltebilmek ve kullanıcılarımızı güvende tutabilmek için bildirmeye teşvik ediyoruz.

Bu programın HackerOne'da barındırılmaktadır ve yalnızca yazılımlardaki potansiyel güvenlik açıklarının bildiriminin koordine edilmesine yöneliktir.

Program Kuralları

  • Potansiyel bir güvenlik açığını fark eder etmez bize bildirin. Lütfen güvenlik açıklarınızı kendi başınıza kanıtlama girişiminde bulunmayın.
  • Yalnızca şahsınıza ait hesapları ve bilgileri kullanın veya erişim sağlayın.
  • Şahsınıza ait olmayan verileri yok etmeyin veya değiştirmeyin.
  • Zoom ürün ve hizmetlerinin veya kullanıcılarımızın performansını düşürmeyin.
  • Zoom çalışanları, konumları veya varlıklarına karşı, sosyal mühendislik, fiziksel ya da hizmet reddi saldırıları gerçekleştirmeyin.
  • HackerOne’ın açıklama yönergelerine , bu Güvenlik Açığı Açıklama Planına ve ilgili yasalara uyun.

Kapsam

Bu plan Zoom'un ürün, hizmet ve sistemleri için geçerlidir. Araştırma yaparken kimin varlıklarını incelediğinizi doğrulamaya her zaman için özen gösterin.

Lütfen Keybase sorunlarını HackerOne'da yer alan, bu duruma özel hata yakalama ödül programına bildirin.

Sağlayıcı sistemlerinde bulunan güvenlik açıkları bu planın kapsamı dışında kalmaktadır ve kendi bildirim programları aracılığıyla doğrudan sağlayıcılara bildirilmelidir.

Bir sistemin kapsama dahil olup olmadığından emin değilseniz veya bulduğunuz bir şeyi bildirmek konusunda yardıma ihtiyaç duyuyorsanız lütfen security@zoom.us adresi üzerinden bizimle irtibata geçin. Yardım etmekten memnuniyet duyarız!

Safe Harbor

Bu plana uygun şekilde gerçekleştirilen tüm aktiviteler yetkili bir hareket olarak değerlendirilir ve size karşı yasal işlem başlatmayız. Üçüncü bir tarafın bu plan dahilinde yürütülen aktivitelerle ilişkili olarak size karşı yasal işlem başlatması halinde, bu plana göre hareket ettiğinizin bilinmesi için gerekli adımları atarız.

Kapsam Dışı Güvenlik Açıkları

  • MITM veya kullanıcı cihazına fiziksel erişim gerektiren saldırılar
  • İşleyen bir kavram kanıtı olmayan, güvenlik açığı bilinen kitaplıklar.
  • Duyarlı eylemlere sahip olmayan sayfalarda tıklama kaçırma
  • Duyarlı eylemlere sahip olmayan formlar veya kimliği doğrulanmamış formlarda Siteler Arası İstek Dolandırıcılığı (CSRF).
  • Bir güvenlik açığı olmadan Virgülle Ayrılmış Değerler (CSV) enjeksiyonu.
  • SSL/TLS yapılandırmasında en iyi uygulamalar eksikliği.
  • Hizmetimizin bozulmasına neden olabilecek herhangi bir etkinlik (DoS).
  • Saldırı vektörü göstermeden/HTML/CSS'yi yapılandıramadan içerik yanıltma ve metin enjeksiyon sorunları.
  • Doğrulanmamış uç noktalarda hız kısıtlayıcı ve deneyerek şifre kırma sorunları.
  • İçerik Güvenlik Planında en iyi uygulamalar eksikliği.
  • Çerezlerde HttpOnly veya güvenli işareti eksikliği.
  • E-posta en iyi uygulama eksikliği (geçersiz, eksik veya var olmayan SPF/DKIM/DMARC kayıtları ve benzerleri).
  • Yalnızca eski veya yamasız tarayıcıların kullanıcılarını etkileyen güvenlik açıkları (En son yayınlanan kararlı sürümden önceki iki kararlı sürümden daha az).
  • Yazılım sürümü açıklaması/başlık tanımlama sorunları/tanımlayıcı hata mesajları veya sayfa başlıkları (örneğin yığın izleme, uygulama veya sunucu hataları).
  • Bir aydan kısa süredir resmi bir yaması olan herkese açık sıfır gün güvenlik açıkları duruma göre ödüllendirilecektir.
  • Tabnabbing.
  • Ek bir güvenlik etkisi gösterilmedikçe yeniden yönlendirmeyi açın.

Güvenlik Açığı Nasıl Bildirilir

Potansiyel güvenlik açığı raporlarını HackerOne üzerinden kabul ediyor ve iletişimi oradan sağlıyoruz.

Raporunuzu aldığımızı 1 iş günü içerisinde onaylayacağız.

Sizden görmek istediklerimiz

Potansiyel bulguları sınıflandırmamıza ve düzeltmemize yardımcı olmak için iyi bir güvenlik açığı raporu şunları yerine getirmelidir:

  • Güvenlik açığını, tam olarak nerede keşfedildiğini ve gerçek dünyadaki etkisini açıklamak.
  • Güvenlik açığını yeniden oluşturmak için gereken adımların detaylı bir tanımını yamak (Kavram kanıtlama, ekran görüntüleri ve videolar işe yarar).
  • Lütfen rapor başına tek bir güvenlik açığı ekleyin (saldırı zincirinde olmadığı sürece).
  • Kötüye kullanılabilme kanıtı olmadan otomatik tarayıcı sonuçlarını bildirmeyin.

Bizden neler bekleyebilirsiniz

İletişim bilgilerinizi bizimle paylaşmayı seçtiğinizde, sizinle en açık biçimde ve en kısa sürede işbirliği yapmayı taahhüt ederiz.

  • Raporunuzun alındığını bir iş günü içerisinde onaylayacağız.
  • Güvenlik açığının varlığını doğrulamak için elimizden geleni yapacağız ve çözümü geciktirecek sorun ve zorluklar da dahil, düzeltme süreci hakkında mümkün olduğunca şeffaf olacağız.
  • Sorunları tartışmak için açık bir diyalog sürdüreceğiz.

Uygunluk

Zoom Hata Yakalama Ödül Programı, nitelikli bireyleri belirli "kapsamdaki" ürün ve hizmetlerde yer alan hataların tanımlarını ve kötüye kullanımlarını detaylı bir şekilde sunan güvenlik açığı raporları göndermeye teşvik eder. Zoom belli durumlarda raporu gönderen güvenlik araştırmacısına para ödülleri/primler verebilir. Alınan her raporu takdir etmekle birlikte, yalnızca aşağıdaki kriterleri karşılayan araştırmacılar para ödülü almaya hak kazanır:

  • Belli bir güvenlik açığına ilişkin rapor sunan ilk araştırmacı olmalısınız.
  • Güvenlik açığını şahsen veya tüm üyeleri Zoom Hata Yakalama Ödül programına katılma hakkı kazanmış bir araştırma ekibinin parçası olmanız gerekir.
  • Şu an ya da son 12 ay içerisinde Zoom, yan kuruluşları ya da ilgili kuruluşlar tarafından istihdam edilmemiş olmanız gerekir.
  • Güvenlik açıklarını bulurken ve bir güvenlik açığı raporu sunarken bu plana uymalısınız.
  • Zoom'un size ödül vermesi konusunda yasal bir kısıtlama olması için bir neden olmamalıdır.

Diğer Hüküm ve Şartlar

Zoom Hata Yakalama Ödül programına katılımınız, Zoom ile aranızda herhangi bir istihdam veya ortaklık ilişkisi yaratmaz. Kendinizi Zoom çalışanı olarak veya Zoom ile herhangi bir bağlantısı olan birisi olarak gösteremezsiniz. Bu programa katılımınızla ilişkili olan yürürlükteki tüm yasalara uymanız gerekir. Aldığınız ödül/primle ilişkili geçerli olan tüm vergilerden kendiniz sorumlusunuz. Bu program yürürlüğe konulmadan önce alınan güvenlik açığı raporlarına ödül verilmez ve ödül için tekrar gönderilemez. Zoom'un yazılı izni olmadan herhangi bir Zoom logosunu, markasını veya hizmet işaretini kullanamazsınız. Zoom bu belgenin güncellenmiş bir sürümünü yayınlayarak, bu planı herhangi bir zamanda, önceden haber vermeden değiştirme hakkını saklı tutar. Zoom bu programı önceden haber vermeden, herhangi bir zaman sonlandırma hakkını saklı tutar.

Fikri Mülkiyet

Zoom Hata Yakalama Ödül programına katılımınız size veya herhangi bir üçüncü tarafa Zoom fikri mülkiyeti, ürün veya hizmetleri üzerinde herhangi bir hak vermez. Zoom, bu planda ayrıca verilmeyen tüm hakları açıkça saklı tutar. Bir rapor bildirimi için ödül verilip verilmemesinden bağımsız olarak, bu vesileyle, gönderilen tüm güvenlik açığı raporlarının tüm fikri mülkiyet hakları da dahil olmak üzere, tüm haklarını, unvanını ve gelirlerini Zoom'a devretmiş olmaktasınız. Ayrıca bildirimlerin tüm ilgili hak, unvan ve gelirlerini Zoom'a devretme hakkına sahip olduğunuzu ve Zoom Hata Yakalama ödül programına katılımınızın herhangi bir üçüncü tarafla, örneğin işvereninizle yapmış olabileceğiniz bir sözleşmeyi ihlal etmediğini beyan edersiniz.