Skip to content

Security: VerifyBlind/VerifyBlind-iOS

SECURITY.md

Güvenlik Politikası / Security Policy

🇹🇷 Türkçe · 🇬🇧 English below

VerifyBlind, NFC tabanlı Türk kimlik doğrulamasını sıfır-bilgi (zero-knowledge) mimarisiyle sunan bir kimlik doğrulama sistemidir. Güvenliği ciddiye alıyoruz ve sorumlu açıklama (responsible disclosure) yapan araştırmacılara teşekkür ederiz.

🇹🇷 Türkçe

Bir güvenlik açığı nasıl bildirilir

Lütfen güvenlik açıklarını herkese açık GitHub issue, tartışma (discussion) veya pull request olarak AÇMAYIN. Bunun yerine aşağıdaki özel kanallardan birini kullanın:

  1. GitHub Private Vulnerability Reporting (tercih edilen): İlgili deponun Security → Report a vulnerability sekmesinden özel bir rapor açın.
  2. E-posta: security@verifyblind.com

Mümkünse şunları ekleyin:

  • Etkilenen depo/bileşen ve sürüm (commit veya sürüm etiketi)
  • Açığı yeniden üretmek için adımlar veya kavram kanıtı (PoC)
  • Etki değerlendirmesi (örn. kimlik bilgisi sızıntısı, kimliğe bürünme, DoS)
  • Varsa önerdiğiniz düzeltme

⚠️ Önemli: Raporunuzda gerçek TCKN, biyometrik veri veya başka bir kişisel veri paylaşmayın. Test/sahte veriler kullanın. Mimarimiz gereği bu verilere zaten erişimimiz yoktur.

Yanıt süreci

Aşama Hedef süre
İlk teyit (raporu aldık) 48 saat içinde
İlk değerlendirme 5 iş günü içinde
Düzeltme / azaltma planı Önem derecesine göre

Açık doğrulandıktan sonra koordineli açıklama için sizinle birlikte çalışırız. İyi niyetle ve bu politikaya uygun hareket eden araştırmacılara karşı yasal işlem başlatmayız (safe harbor).

Kapsam

VerifyBlind organizasyonundaki herkese açık depolar (mobil uygulamalar, SDK'lar, enclave, örnek/entegrasyon projeleri) kapsamdadır. Kullandığımız bir üçüncü taraf bağımlılıkta açık fark ederseniz bunu da bize bildirmekten çekinmeyin — düzeltmemize ya da bir alternatife geçmemize yardımcı olur.

Tercih edilen diller

Türkçe ve İngilizce.

İletişim ve makine-okunur politika için ayrıca: https://verifyblind.com/.well-known/security.txt


🇬🇧 English

VerifyBlind is a zero-knowledge identity verification system built on NFC-based Turkish ID authentication. We take security seriously and appreciate researchers who practice responsible disclosure.

How to report a vulnerability

Please do NOT report security vulnerabilities through public GitHub issues, discussions, or pull requests. Instead, use one of the private channels below:

  1. GitHub Private Vulnerability Reporting (preferred): Open a private report via the affected repository's Security → Report a vulnerability tab.
  2. Email: security@verifyblind.com

If possible, include:

  • Affected repository/component and version (commit or release tag)
  • Steps to reproduce or a proof of concept (PoC)
  • Impact assessment (e.g. credential disclosure, impersonation, DoS)
  • Any suggested remediation

⚠️ Important: Do not include real national ID numbers (TCKN), biometric data, or any personal data in your report. Use test/dummy data. By design, we do not have access to such data.

Response process

Stage Target
Initial acknowledgement within 48 hours
Initial assessment within 5 business days
Fix / mitigation plan depending on severity

Once a vulnerability is confirmed, we will work with you on coordinated disclosure. We will not pursue legal action against researchers acting in good faith and in line with this policy (safe harbor).

Scope

Public repositories under the VerifyBlind organization (mobile apps, SDKs, the enclave, and example/integration projects) are in scope. If you notice a vulnerability in a third-party dependency we rely on, we'd appreciate a heads-up too — it helps us patch or move to an alternative.

Preferred languages

Turkish and English.

For contact details and a machine-readable policy, see: https://verifyblind.com/.well-known/security.txt

There aren't any published security advisories