Güvenlik

Bug Bounty Programı

Bulduğun açıkları sorumlu şekilde bildir, ödüllendiril.

Şimdi bildirim yap Kapsamı gör →

Toplam ödül havuzu: ₺25,000 yıllık (lansman sonrası açılır).

01 — Kapsam

Neler kapsamda, neler değil

In-scope

  • mezarmc.com web sitesi — tüm /api/* endpoint'leri dahil
  • MezarMC Launcher — Tauri uygulaması
  • MezarClient Fabric mod
  • Survival + SkyBlock plugin'leri — sunucuya bağlandıktan sonra
  • Authentication akışı — premium-style auth, prelogin endpoint

Out-of-scope

  • 3rd-party servisler — Modrinth CDN, mc-heads.net, crafatar.com
  • Sosyal mühendislik saldırıları — phishing, vishing — etkisizdir, raporlamayız
  • Fiziksel saldırılar
  • Henüz patchlenmiş ve duyurulmuş açıklar
  • DDoS / volume saldırıları
  • Spam / brute-force eposta

02 — Ödül Skalası

Ne kadar ödül?

Severity'ye göre nakit + sunucu içi ML (Mezar Lirası). Toplam yıllık havuz ₺25,000 ile sınırlı; havuz tükendikten sonra ML ödülleri devam eder.

MezarMC Bug Bounty ödül skalası — severity seviyesi, ödül tutarı ve örnek bulgu kategorileri.
ŞiddetÖdülÖrnek
Kritik₺2,500 + Kurucu rütbesi (geçici 1 ay) + 5,000 MLRCE, full account takeover, server config disclosure
Yüksek₺1,000 + 2,000 MLSQL injection, auth bypass, IDOR with PII
Orta₺500 + 500 MLXSS (stored), CSRF on critical actions, info disclosure
Düşük200 MLMinor info leak, low-impact misconfigurations
BilgilendirmeTeşekkür + Hall of FameBest practices ihlali, self-XSS

* ML = Mezar Lirası, sunucu içi ekonomi para birimi. Severity tartışmaları durumunda son karar MezarMC ekibinindir.

03 — Süreç

Nasıl bildirim yaparsın?

4 adım — basit, doğrudan, sürtünmesiz.

  1. Önce kendi başına dene

    Bulgu güvenilir mi? Tek seferlik bir hata mı, yoksa tekrarlanabilir mi? Repro adımlarını netleştir.

  2. Repro adımları yaz

    HTTP request, screenshot, video — hangi format olursa olsun yeterli detay ver. Etkilenen URL, payload, beklenen ve gerçek davranış.

  3. PGP ile şifrele (opsiyonel)

    [email protected]'un public key'i aşağıda. Şifrelemek istemezsen normal eposta da kabul ederiz — ama hassas exploit için PGP öneriyoruz.

  4. Eposta at

    [email protected] adresine gönder. 7 gün içinde ilk yanıt verilir; severity'e göre 30 gün içinde patch.

PGP Public Key (placeholder)

Aşağıdaki fingerprint placeholder — gerçek public key lansmandan önce yayınlanacak. Şimdilik plaintext eposta da kabul ediyoruz.

0123 4567 89AB CDEF 0123  4567 89AB CDEF 0123 4567

Eposta: [email protected]

04 — Kurallar

Ne yapmalı, ne yapmamalı

Programa katılmak için bu kurallara uymalısın — uymadığın takdirde safe harbor koruması düşer.

  • Hassas verileri istismar etme — kanıt yeterli.
  • Başka kullanıcıların verilerine ASLA ulaşma.
  • Bulguyu kamuya açıklamadan önce 90 gün bekle (responsible disclosure).
  • Bot kullanma, saatte max 30 request.
  • Production'a saldırma — staging veya self-host kullan (talep et).
  • Türkçe veya İngilizce yazabilirsin.

05 — Onur Listesi

Hall of Fame

MezarMC güvenliğine katkıda bulunan araştırmacılar. Lansman sonrası ilk bulgular yerlerini alacak.

  • [TBA]

    İlk kritik bulgunun keşfedicisi (lansman sonrası)

  • [TBA]

    Auth bypass detector

  • [TBA]

    XSS hunter

Adınızın listede çıkmasını istemezseniz [email protected] üzerinden bildirin — anonimleştirir veya çıkarırız.

06 — Yasal

Safe Harbor

  • Bu programa katılan araştırmacılara karşı yasal işlem başlatmayacağız (yukarıdaki kuralları takip ettikleri sürece).
  • TCK 243-244 (Sistem güvenliğine zarar verme) bu kuralları takip edenlere uygulanmaz — beyanımız gönderilen rapor için açık rıza oluşturur.
  • Disclaimer: kötü niyetli erişim, veri sızdırma ya da kötüye kullanım programdan diskalifiye sebebidir + yasal işlem başlatılır.

Bir açık mı buldun? Sorumlu şekilde bildir — birlikte daha güvenli bir MezarMC kurarız.

Şimdi bildirim yap Güvenlik politikası →