BtcTurk ve BtcTurk | PRO'da Ödül Avcılığı Programı Başladı!

BtcTurk güvenlik uzmanları sistemlerimizdeki tüm güvenliği sağlamak için her türlü çabayı gösteriyor. Aynı zamanda güvenliğimize karşı sorumluluk hissedip zafiyet bildiriminde bulunan güvenlik araştırmacılarının katkısını da önemsiyor ve ödüllendiriyor.

Eğer BtcTurk’e ait platformlarda ya da servislerde bir güvenlik zafiyeti tespit ederseniz, bu zafiyeti www.btcturk.com/odul-avciligi bağlantısındaki form aracılığıyla bize bildirerek ödül kazanabilir ve Onur Tablosunda yer alabilirsiniz. BtcTurk | PRO ile ilgili zaafiyetleri ise pro.btcturk.com/odul-avciligi bağlantısındaki formu kullanarak iletebilirsiniz.

Sorumluluk ve iş birliğiniz için teşekkür ederiz.

Program Kuralları

  • Yalnızca www.btcturk.com/odul-avciligi ve pro.btcturk.com/odul-avciligi bağlantıları üzerinden eksiksiz olarak iletilen zafiyetler değerlendirmeye alınacaktır. Bu kanal dışında gelecek hiçbir bildirim dikkate alınmayacaktır.
  • Raporlar, tekrarlanabilir (reproduce) adımlarla ve ayrıntılı bir şekilde gönderilmelidir.
  • Birbirini tetikleyen zafiyetler olmadığı sürece her defasında yalnızca bir (1) zafiyet gönderilmelidir.
  • Kapsam dışında bulunan zafiyetler veya bulgular değerlendirmeye alınmayacaktır.
  • Aynı zafiyet birden fazla kişi tarafından bildirildiğinde sadece ilk geçerli raporu ileten kişi ödüle hak kazanacaktır.
  • Bildirim yapılan bulgulara dönüş süresi minimum 3 iş günüdür.
  • Sahte e-posta veya kimlik bilgileri ile hesap açılması yasaktır. Aynı zamanda bu tarz hesaplar ile yapılacak testler de dikkate alınmayacaktır.
  • Mümkün olan her kanıt metin şeklinde iletilecek, zorunlu kalmadıkça ekran görüntüsü gönderilmeyecektir.
  • Bulguları gönderen kişi ile bulguyu keşfeden kişi aynı kişi olmak zorundadır.
  • BtcTurk, gönderilen bulgunun bir kısmının veya tamamının kamuoyuna, üçüncü parti firmalara veya çalışanlarına açıklama hakkını saklı tutar.
  • Bir bulgu gönderdiğinizde program koşul ve şartlarını kabul etmiş olursunuz.
  • Kendinize ait olmayan hesaplarla test yapılmasından kaçınılmalıdır.
  • Bulunacak olası zafiyetlerin sebep olabileceği gizlilik ihlali, veri bozulması ve iş sürekliliğini etkilemek gibi durumlara sebep olunmaması için çaba gösterilmelidir.
  • Kişisel bilgi mahremiyeti ihlal edilmemeli veya yayınlanmamalıdır.
  • Bulunan zafiyet BtcTurk'ün izni olmadan başka platformlar aracılığıyla veya kişilerle paylaşılmamalıdır.
  • Aynı zafiyet birden fazla defa tarafımıza iletilmemelidir.

Kapsam Dışındakiler

  • POC çalışması yapılamayan veya kanıtlanamayan, teoride açıklanan veya hazır araç/kod çıktıları ile gelen zafiyetler.
  • Güncel kullanımda olmayan browser veya platformlar üzerinden tetiklenen zafiyetler.
  • BtcTurk platformlarından / servislerinden bağımsız zafiyetler.
  • Cache-control ile ilgili zafiyetler.
  • Herhangi bir güvenlik etkisi olmayan bulgular.
  • Her türlü fiziksel saldırılar, man in the middle (MITM) saldırıları, spamming, smishing, phishing ve sosyal mühendislik saldırıları.
  • Hali hazırda bilinen, geliştirme sürecinde olan veya bir başkası tarafından raporlanan zafiyetler.
  • Tekrarlanamayan (Reproduce edilemeyen) zafiyetler.
  • Herhangi bir zafiyete yol açmayan security header konfigürasyon eksiklikleri, Content Security Policy (CSP) konfigürasyonu ve CSRF. (Etkisi olan zafiyetler değerlendirilir)

Ödül

  • BtcTurk Ödül Avcılığı Programı'nda en düşük ödül 100 USDT'dir. Para ödülleri zafiyetin derecesine ve etkisine göre değişkenlik gösterir.
  • Tüm zafiyetler para ödülü ile ödüllendirilmek zorunda değildir. Etkisi olmayan ve zafiyetler sadece Onur Tablosu kapsamında değerlendirilebildiği gibi, etkisi yüksek zafiyetler için daha yüksek ödeme yapılabilir.
  • Düzeltilme sürecinde bulunan ve daha önce bildirilen zafiyetler sadece Onur Tablosu kapsamında ödüllendirilir.
  • Bildirilen ve BtcTurk tarafından kabul edilen her zafiyet yalnızca 1 kez ödüllendirilir.