Güvenlik bizim için
özelliktir
UpCore Türkiye'de İK verisi işleyen bir SaaS. Tek bir açık binlerce çalışanın kişisel ve sağlık benzeri verilerini riske atabilir. Bu sayfa, bağımsız güvenlik araştırmacılarının bir açığı sorumlu şekilde bildirmesi için tüm kuralları ve ödüllerimizi tanımlar.
Safe Harbor Taahhüdü
Bu politikaya uygun araştırma yaparken UpCore size karşı hukuki işlem başlatmaz. Bu safe harbor TCK 243/244 kapsamında "yetki dahilinde erişim" olarak değerlendirilir — iyi niyetli güvenlik araştırmasını koruma taahhüdümüz sözleşmemizin parçasıdır. 3. tarafların (alt işleyenler) size karşı başvurusu olursa hukuki olarak destek oluruz.
Ödül matrisi
Severity × Bounty
CVSS 3.1 ve business impact skorlamasına göre severity atanır · maksimum ödül kritik bulgularda ₺50.000 · ödeme: banka havalesi veya kripto (tercihe göre) · 30 gün içinde.
| Severity | Ödül | Örnekler | SLA |
|---|---|---|---|
| Critical | ₺10.000 – ₺50.000 | RCE · Authentication bypass · Multi-tenant data leak · SQL injection (auth'd context) · Kriptografik anahtar sızdırma | 24 saat triage · 72 saat fix |
| High | ₺2.500 – ₺10.000 | Privilege escalation · Stored XSS · IDOR (sensitive data) · SSRF · XXE · Önemli misconfiguration | 3 iş günü triage · 7 iş günü fix |
| Medium | ₺500 – ₺2.500 | Reflected XSS · CSRF (state-changing) · Business logic flaws · Information disclosure (non-PII) | 5 iş günü triage · 14 iş günü fix |
| Low | ₺100 – ₺500 | Missing security headers · Open redirect (low impact) · Sub-domain takeover (dead asset) | 10 iş günü triage · 30 iş günü fix |
| Informational | Teşekkür listesi | Best practice ihlali · design discussion · non-exploitable finding | 30 iş günü triage |
Kapsam
Test edilebilir sistemler
Kapsam içinde
*.upcore.io (production)app.upcore.io (müşteri uygulaması)api.upcore.io (REST API)auth.upcore.io (Clerk proxy)status.upcore.ioupcore.io (marketing)UpCore iOS ve Android uygulamalarıapi.upcore.io/v1/* endpoint'leri
Kapsam dışı
- DOS/DDoS saldırıları
- Sosyal mühendislik (UpCore çalışanlarına)
- Fiziksel saldırılar
- SPF/DKIM/DMARC bypass (kullanıcı etkilemeyen)
- Rate limiting bypass (destructive olmadıkça)
- 3. parti SaaS bileşenleri (vendor'a bildirilmeli)
- Clickjacking (sensitive actions hariç)
- Self-XSS (kullanıcı kendi tarayıcısında)
- Outdated software (kritik güncelleme hariç)
- .well-known/ çıktıları (public by design)
Kurallar
Yapılması + yapılmaması gerekenler
Sadece kendi test tenantınız üzerinde test yapın (sandbox.upcore.io — ücretsiz oluşturun).
Bulduğunuz açığı açıklayıcı steps-to-reproduce ile bildirin (screenshot + video kabul).
Araştırma sürecinde topladığınız verileri bildirim sonrası silin.
İyi niyetle sınır testleri yapın · veri çıkarmaya gerek yok.
Başka müşteri tenant'larına erişmeyin · kendi tenant'ınız yeterlidir.
PII/PHI çıkarmayın · ortaya çıkardığınız miktar minimum tutulmalı.
Public disclosure'dan önce 90 gün bekleyin (veya fix'ten sonra ilk hangi gelirse).
Phishing · sosyal mühendislik · fiziksel saldırı · hizmet reddi deneme.
Süreç
Bildirim sonrası ne olur?
Bildirim alınır
security@upcore.io veya /.well-known/security.txt ile PGP şifrelenmiş.
Triage
24 saat içinde doğrulanır, severity atanır, iç ticket açılır.
Fix geliştirme
Severity'ye göre SLA penceresi · PR açılır, testler yazılır.
Fix deploy
Staging → production · rollout sırası · müşteri tenant'larında doğrulama.
Disclosure
Araştırmacıyla birlikte CVE başvurusu (varsa) · public blog post · 90 gün penceresi.
Ödül + teşekkür
Ödül ödemesi · Hall of Fame'e ekleme · LinkedIn onay.
Hall of Fame
UpCore'u güvenli tutan araştırmacılar
Anonim kalmak isteyenler dahil tüm geçerli bildirimcilere teşekkür borçluyuz · listeye eklenmek için araştırma sonrası onay isteyin.
| Araştırmacı | Ülke | Bulgu sayısı | Not |
|---|---|---|---|
| Mehmet Y. | TR | 3 | 2026 Q1 · Stored XSS (High) |
| Anonim | US | 1 | 2026 Q1 · IDOR (Medium) |
| Ayşe K. | TR | 2 | 2026 Q2 · CSRF + business logic (High + Medium) |
Açık buldunuz mu?
24 saat içinde triage · 72 saat içinde fix başlıyor (kritik). PGP şifreli bildirim için security.txt\'i kullanın.