güvenlik raporu · sürüm 2 · 15 Temmuz 2026

Doğrulanabilir iddialar.

Bu, 'güvenliyiz' diyen bir pazarlama sayfası değil, her birini ödül karşılığında hata ödül programımızda çürütebileceğiniz doğrulanabilir iddialar (SR-N) bütünüdür.

01 · Sunucunuza erişim

Sunucunuza erişim

SR-1root parolası bir kez kullanılır ve bizim tarafımızda saklanmaz.doğrulandı+

Parola yalnızca ilk SSH bağlantısını açmak ve bir hizmet kullanıcısı kurmak için gereklidir. Bağlantımız için SSH kimlik doğrulaması olarak iletilir — bir betik argümanı veya ortam değişkeni olarak değil. Veritabanımızda bunun için bir alan yoktur; betik çalıştırma ortamlarına girmez ve günlüklere yazılmaz (bağlantı hataları yalnızca adres ve bağlantı noktasını içerir, asla parolayı değil). Bellekte, kullanımdan sonra (elden geldiğince) silinir — bu, bir garanti değil, katmanlı savunmadır: Go, değerin kopyalarını çöp toplamaya (garbage collection) kadar yığında (heap) tutabilir.

Dürüst çekince: bu, sunucunuzdaki root parolası olarak kalır. Kurulumdan sonra SSH üzerinden parola ve root girişini devre dışı bırakırız, ancak parolanın kendisini değiştirmeyiz — isterseniz kendiniz değiştirin. 'Saklamıyoruz' doğrudur; 'artık bir sır olmaktan çıktı' ise değil.

SR-2Kurulumdan sonra parola ve root SSH girişi devre dışı bırakılır.doğrulandı+

PasswordAuthentication no, PermitRootLogin no, SSH standart olmayan bir bağlantı noktasına taşınır (varsayılan 12011), fail2ban etkinleştirilir (5 başarısız denemeden sonra bir saatlik yasak), yalnızca anahtarla giriş. Genel anahtar kullanımdan önce sıkı biçimde doğrulanır: satır sonları (authorized_keys içine fazladan anahtar sızdırılmasına karşı koruma) ve sözdizimsel olarak geçersiz anahtarlar reddedilir.

Kilitlenmeye karşı koruma: yeni SSH bağlantı noktasının gerçekten dinlediğini çekirdek (ss aracılığıyla) doğrulayana kadar 22 bağlantı noktası kapatılmaz; yapılandırma sshd -t ile, sudo kuralı visudo -cf ile denetlenir; hata durumunda her ikisi de geri alınır.

SR-3Yönetim anahtarı yalnızca şifreli biçimde saklanır.doğrulandı+

Panel, parolanızla değil, kendi ürettiği ayrı bir anahtarla (ed25519) çalışır. Özel kısım, veritabanında AES-256-GCM ile şifrelenmiş olarak durur. Şifreleme anahtarı (KEK) veritabanından ayrı olarak — bir sunucu ortam değişkeninde — saklanır ve üretim ortamında zorunludur (güvensiz bir varsayılan yoktur: KEK olmadan kripto alt sistemi başlamaz). Aynı şifreleme veritabanındaki ağır sırları da korur — Marzban yönetici parolası/token'ı/JWT'si, Reality anahtarları, ödeme sağlayıcı anahtarları, proxy kimlik bilgisi önbelleği, yedekleme yapılandırması.

Şifreleme veriyi yalnızca gizlemez, aynı zamanda kimliğini doğrular (GCM kimlik doğrulama etiketi): şifreli bir alanla oynanması, şifre çözme sırasında tespit edilir ve reddedilir. Her alan yeni, rastgele bir nonce ile şifrelenir; KEK değeri hiçbir zaman günlüklere ulaşmaz — yalnızca kısa kimliği ulaşır.

Yetki token'ları hakkında: /sub abonelik token'ı bir hamiline (bearer) sırdır. Arama için yalnızca SHA-256'sını saklarız; daha önce verilmiş bir bağlantıyı yeniden göstermek için gereken kopya ise AES-GCM şifreli metin olarak tutulur. Eski düz metin kayıtları, HTTP sunucusu başlamadan önce, hata durumunda kapalı (fail-closed) kalacak şekilde yeni biçime taşınır. Ödeme webhook'unun URL tanımlayıcısı açık biçimde saklanır ancak tek başına bir olayı doğrulamaz: gerçeklik ayrıca bir HMAC imzasıyla doğrulanır.

SR-4Özel anahtar hiçbir zaman tarayıcıya ulaşmaz.doğrulandı+

Anahtar yalnızca sunucuda, bellekte çözülür; sıradan API'ler onu asla döndürmez. Elde etmenin tek yolu, oturum açma ile birlikte tek kullanımlık bir e-posta koduyla korunan kasıtlı bir dışa aktarma işlevidir ('anahtarını al') (kod yalnızca HMAC karması olarak saklanır, sabit zamanda karşılaştırılır, 10 dakikalık TTL, 5 deneme). Yani anahtar kasıtlı olarak alınabilir, ancak normal bir istek üzerinden 'sızdırılamaz'.

SR-5Bir sunucu silindiğinde, anahtar kaydından eşzamanlı (senkron) olarak temizlenir.doğrulandı+

Sunucunun durumu değişmeden ve herhangi bir arka plan ağ işlemi başlamadan önce, yönetim anahtarını tutan alanlar eşzamanlı olarak sıfırlanır. Veritabanı temizlemeyi onaylamazsa, işlem bir hata döndürür ve yeniden denenebilir. Silme işlemi 'yumuşak' (soft) kalır: satır ve sır olmayan hizmet verileri korunur. Bu, önceden oluşturulmuş yedeklerin fiziksel olarak silinmesi anlamına gelmez — bunların yaşam döngüsü yedekleme saklama politikasıyla yönetilir.

SR-16Denetlenen iş ortağı API'leri, erişimi kaynağın sahibiyle sınırlar.doğrulandı+

Denetlenen iş ortağı yolları, sunucunun imzalı oturum açma token'ından türettiği partner_id ile yetkilendirir — istemcinin yolda (path) veya gövdede (body) gönderdiğiyle değil. Herhangi bir şey döndürülmeden veya değiştirilmeden önce sistem, istenen sunucunun, kümenin, inbound'un, rotanın, VPN kullanıcısının veya ödemenin hesabınıza ait olduğunu yeniden denetler; ilgili veritabanı sorguları partner_id'nizle sınırlandırılır ve şema (bileşik benzersiz anahtarlar ile bileşik yabancı anahtarlar) geçersiz çapraz-ortak bağlantılarını reddeder. Yalıtım katmanlıdır: uygulama, kullanım senaryosu yeniden denetimi, bir partner_id filtresi ve şema.

Dürüst çekince: bu, herkese açık bir sızma testiyle değil, istek yolu boyunca yapılan bir kod denetimiyle doğrulanmıştır — bu yüzden SR-16 da diğerleri gibi hata ödül programında çürütülmeye açıktır.

Panelin erişimi hakkında dürüstçe — bu 'sınırlı' değil, tam yöneticidir.dürüst not+

Her şeyi otomatik olarak yapılandırmak için (Xray+Reality kurmak, yapılandırma uygulamak, metrikleri okumak) panel, sunucuda tam yönetici erişimine sahiptir (root'a eşdeğer; parolasız sudo'ya sahip bir hizmet kullanıcısı aracılığıyla). Bu, yönetim için gereklidir ve biz buna 'sınırlı' DEMİYORUZ.

Riski azaltan şey: sırlar sunucuya yalnızca sürecin stdin'i aracılığıyla iletilir (komut argümanı olarak değil — süreç listesinde görünmezler); ilk kurulumdan sonra her yönetim bağlantısı, sunucunun sabitlenmiş (pinned) ana bilgisayar anahtarını doğrular — 'ortadaki' bir sunucu değişimi reddedilir. Sizin kontrolünüzde olan: erişim, istediğiniz zaman iptal edebileceğiniz bir anahtara dayanır — sunucuyu silerek (anahtar sıfırlanır) veya sağlayıcınızdaki VPS'i basitçe silerek (o zaman her şey kaybolur).

02 · Verileriniz ve gizliliğiniz

Verileriniz ve gizliliğiniz

SR-6VPN kullanıcıları sunucunuzda bulunur; biz asgari düzeyde hizmet meta verisi tutarız.doğrulandı+

VPN hesaplarının kendisi (VLESS/Reality) ana (master) sunucunuzdaki Marzban içinde oluşturulur ve orada bulunur. Merkezî olarak yalnızca bir abonelik bağlantısı vermek için gerekli olanı saklarız: rastgele bir abonelik token'ı ve proxy kimlik bilgilerinin şifreli bir anlık görüntüsü (bir önbellek; gerçeğin kaynağı sizin Marzban'ınızdır). Trafik, IP veya kullanıcı ziyaret geçmişimiz yoktur.

Son kullanıcının e-postasının merkezî veritabanımızdan gerçekten geçtiği yerlerin dürüst bir listesi şöyle: oturum açma kodunu içeren e-postayı biz gönderiyoruz, dolayısıyla adres gönderim kuyruğumuzdan geçer (ücretsiz olan da dâhil, mağazaya yapılan her oturum açma için); ödeme sırasında alıcının e-postası ödeme webhook'una gelir ve ödeme günlüğüne girer; Telegram bağlanırken e-posta profile kaydedilir. Tek temas noktaları bunlardır — işlevsel ve zorunluluktan; hiçbiri trafiği ya da kullanıcı davranışını ilgilendirmez.

Bu hizmet verilerini yalnızca gerektiği kadar saklar ve otomatik olarak temizleriz: e-posta gönderimin hemen ardından gönderim kuyruğundan kaldırılır, bir ödeme olayının içeriği işlendikten sonra, yeniden denemeyi bekleyen olaylar ise 90 günlük bir pencere içinde. Destek ile iletişime geçerek hesabınızı ilişkili verileriyle birlikte silebilirsiniz (ayrıntılar için bkz. risk 7). Bunu muğlak ifadelerin arkasına gizlemek yerine açıkça beyan ediyoruz.

SR-7Trafiğinizin veya ziyaretlerinizin günlüklerini toplamıyoruz ve sunucular hiçbir ziyaret günlüğü tutmaz.doğrulandı+

CreateYourVPN platformu, sizin ya da kullanıcılarınızın hangi siteleri ziyaret ettiğine dair bilgi almaz veya saklamaz. Metrik alım şeması kapalıdır: IP'ler, alan adları veya ziyaretler için fiziksel olarak alanı yoktur — yalnızca toplamlar (benzersiz çevrimiçi sayısı, toplam bayt, CPU/RAM/yük). Her düğüm (node) kendi kimliğine bağlı bir HMAC token'ıyla kimlik doğrular ve yalnızca kendisi için metrik yazabilir. Düğüm üzerindeki dengeleyici (HAProxy) SNI'ye göre bir TCP yönlendiricisi olarak çalışır ve trafiğin şifresini çözmez. Sunucunun kendisinde sistem günlükleri (journald) yaklaşık bir saatten fazla tutulmaz ve syslog'a iletilmez.

Platform düzeyinin ötesinde, sunucular da bir ziyaret günlüğü tutmaz: Xray erişim günlüklemesi her yapılandırma gönderiminde zorla devre dışı bırakılır (platform log.access değerini none olarak ayarlar), böylece kenar proxy'si kullanıcıların hangi adreslere bağlandığını kaydetmez. Bu, kodda zorunlu kılınır ve tüm filoya dağıtılır.

SR-8Web analitiği Google Analytics'tir; başka izleyici yoktur.doğrulandı+

Sitenin ve panelin nasıl kullanıldığını anlamak için Google Analytics uyguluyoruz (çerez banner'ı, çerez ve istatistik toplama konusunda uyarır; ayrıntılar Gizlilik Politikası'ndadır). Başka üçüncü taraf izleyici yoktur: Sentry, PostHog, Mixpanel veya reklam pikselleri yoktur (her iki ön yüz de aranarak doğrulanmıştır). Arka uçta hiçbir üçüncü taraf telemetrisi yoktur. Son kullanıcı vitrini analitik kapsamında hiç değildir — GA yok, izleyici yok (kaynaklarından doğrulanabilir).

Çekince: GA, IP'nizi (Google tarafında) ve görüntülenen panel sayfalarının adreslerini alır; panel URL'leri yalnızca bir küme tanımlayıcısı içerir, e-posta değil.

SR-9Ödemeler harici yürütülür — tam kart numarasını almayız.doğrulandı+

Ödeme ve tüm kart verileri sağlayıcının tarafında (Tribute / Lemon Squeezy) işlenir. Biz yalnızca imzalı bir webhook alırız (HMAC-SHA256, sabit zamanlı karşılaştırma; gövde ayrıştırılmadan ve herhangi bir veritabanı yazımından önce doğrulanır: sırrı bilmeden bir olay doğrulamayı geçemez). Tam kart numarasını (PAN) veya CVV'yi almayız. Aynı webhook'un yeniden teslimi (sağlayıcı yeniden denemeleri) çift tahsis (grant) oluşturmaz — olaylar yinelenmez (deduplike edilir).

Çekince: sağlayıcı, webhook gövdesine kart meta verilerini (marka ve son 4 hane) ve ödeyenin adını ve e-postasını dahil edebilir. Orijinal gövdeye, işleme tamamlanana kadar işçi (worker) tarafından ihtiyaç duyulur; başarılı işlemeden sonra e-posta ipucuyla birlikte silinir. Yeniden denemeyi veya manuel incelemeyi bekleyen olaylar orijinal gövdeyi yalnızca saklama penceresinin sonuna kadar (90 gün etkinlik olmadan) tutar; ardından kart meta verileri ve ödeyenin e-postası otomatik olarak silinir. 'Tam kart numarası yok' doğrudur, ancak bu sağlayıcıların bir özelliğidir (gövdeyi kendimiz filtrelemiyoruz); 'kartla ilgili hiçbir şey görmüyoruz' ise değil.

Sizin (iş ortağı) hakkınızda sakladıklarımız, dürüstçe.dürüst not+

E-posta (oturum açmak için gerekli), son oturum açma zamanı, arayüz modu; faturalandırma için — bakiye ve Telegram (yükleme için). İş ortağının IP'si veritabanında saklanmaz ve panelde hiçbir tıklama veya işlem geçmişi tutmayız (hatalarda kısa bir erişim günlüğü dışında).

03 · Sunucu sıkılaştırma

Sunucu sıkılaştırma

SR-10Güvenlik duvarı, gerekli olan dışında her şeyi reddeder.doğrulandı+

Güvenlik duvarı gelen bağlantıları varsayılan olarak reddeder. Dışarıya açık olanlar: 443 (VPN, Xray+Reality), standart olmayan bir bağlantı noktasında SSH (varsayılan 12011) ve — ana sunucuda — yalnızca kontrol düzlemi IP'leri için Marzban yönetici paneli bağlantı noktası. 80 bağlantı noktası yalnızca Let's Encrypt modunda HTTP-01 için ayrıca açılır. 22 bağlantı noktası, SSH taşındıktan sonra kapatılır.

Düğümün yönetim bağlantı noktaları yalnızca ana sunucunun IP'sine açıktır, dışarıya değil (bu bağlamanın başarısız olması kurulumu iptal eder). Güvenlik duvarı etkinleşmezse kurulum başarısız olur. ICMP echo yalnızca IPv4 için sınırlandırılır; sunucunun 'görünmez' olduğunu vaat etmiyoruz ve IPv6'nın doğru çalışması için IPv6 ICMP korunur.

SR-11Otomatik güvenlik güncellemeleri.doğrulandı+

Unattended upgrades, güvenlik paketi güncellemelerini otomatik olarak kurar. Çekince: otomatik yeniden başlatma bilerek devre dışı bırakılmıştır (böylece doğrulanmamış bir çekirdek kendi başına yeniden başlatılmaz) — bu, yeniden başlatma gerektiren düzeltmelerin (çekirdek, bazen OpenSSH) yalnızca manuel veya zamanlanmış bir yeniden başlatmadan sonra uygulandığı anlamına gelir. 'Otomatik yama' kullanıcı alanı (userland) için doğrudur, yeniden başlatma gerektirenler için değil.

'Görünmezlik' hakkında dürüstçe — bunu iddia etmiyoruz.dürüst not+

Sunucunun 'görünmez' olduğunu veya 'taranamayacağını' İDDİA ETMİYORUZ. 443 bağlantı noktası açıktır ve herhangi bir web sunucusu gibi bir TCP bağlantısına yanıt verir. 'Yanlış bir bağlantıda sıradan, alakasız bir web sitesi gibi görünür' özelliği, Xray içindeki Reality protokolü tarafından sağlanır — mutlak bir ifadeye dönüştürmediğimiz ayrı bir bileşen.

04 · Platform (kontrol paneli)

Platform (kontrol paneli)

SR-12CreateYourVPN hesabınıza parolasız oturum açma.doğrulandı+

İş ortağı oturum açması, e-postaya gönderilen tek kullanımlık 6 haneli bir kodla yapılır. Hesap parolası yoktur. Bu, yönetilen bileşenlerin dahili kimlik bilgileri için — örneğin üretilen Marzban yönetici parolası — geçerli değildir. Kodlar bir kriptografik üretici tarafından üretilir; yalnızca HMAC karmaları saklanır ve karşılaştırma sabit zamanlıdır. Kod tek kullanımlıktır: başarıda hemen silinir (tekrar oynatma yok); 5 yanlış denemeden sonra erkenden söndürülür. Verme hız sınırı IP başına değil, e-posta başına sayılır — adres değiştirerek aşılamaz.

SR-13Oturum korunur.doğrulandı+

Oturum token'ı, HttpOnly ve Secure bir çerezde durur (JS onu okuyamaz) ve arka uçta doğrulanır (yalnızca uç noktada değil). Boşta kalma zaman aşımı ve etkinsizlikte otomatik çıkış, sunucuda değil, istemcide uygulanır. Token HS256 ile imzalanır; doğrulamada başka herhangi bir algoritmayı ('none' dahil) kesinlikle reddederiz — klasik algoritma değiştirme saldırısı geçmez. Vitrin token'ı ile iş ortağı paneli token'ı hedef kitleye (audience) göre ayrılmıştır: bir son kullanıcı token'ı teknik olarak iş ortağı API'sine ulaşamaz (ve tersi). Silinmiş bir iş ortağı, canlı bir token'la bile reddedilir.

Çekince: iptal, token'ın kendisini geçersiz kılarak değil, her istekte iş ortağının var olduğunu denetleyerek uygulanır; oturumu kapatma çerezi siler, ancak verilmiş bir token, süresi dolana kadar (bir saate kadar) kriptografik olarak geçerli kalır. Henüz merkezî bir iptal listesi yoktur (bilinçli bir MVP sadeleştirmesi).

SR-14Token'lar ve sırlar tarayıcıya sızmaz.doğrulandı+

Tarayıcının yerel deposunda (local storage) hiç token yoktur (yalnızca arayüz ayarları); hiçbir sır veya API adresi istemci paketine (bundle) girmez. Token'ı HttpOnly bir çereze yalnızca sunucu (Next.js) koyar. Tarayıcı çekirdekle yalnızca sunucu (Server Actions) aracılığıyla konuşur: ön yüz API'yi doğrudan tarayıcıdan çağırmaz ve CORS, tarayıcının diğer kaynaklardan gelen API yanıtlarını okumasına izin vermez.

Eski bir mutlak ifade yerine açıklama: API alan adının kendisi herkese açık bir ana bilgisayardır — teknik olarak bir tarayıcıdan açabilirsiniz, ancak oturum olmadan yetkili hiçbir veri döndürmez.

SR-15Platformun herkese açık alan adları, katı güvenlik başlıklarıyla HTTPS kullanır.doğrulandı+

CreateYourVPN'in herkese açık alan adları, HSTS (max-age iki yıl, includeSubDomains) ile HTTPS üzerinden sunulur. Hem web ön yüzü hem de API alan adı katı bir güvenlik başlıkları kümesi gönderir: kısıtlayıcı bir Content-Security-Policy, X-Content-Type-Options: nosniff, X-Frame-Options ve sıkılaştırılmış bir Referrer-Policy (API'de no-referrer; ön yüzde strict-origin-when-cross-origin ve ön yüz ayrıca kısıtlayıcı bir Permissions-Policy gönderir).

Bu, her iki alan adında da üretimde çalışır ve bağımsız olarak denetlenebilir — herhangi bir HTTP başlık denetleyicisiyle ya da SSL Labs gibi bir hizmetle.

Riskler hakkında dürüstçe (vaat ETMEDİKLERİMİZ)

Riskler hakkında dürüstçe (vaat ETMEDİKLERİMİZ)

Bu bölümü olmayan bir rapor pazarlamadır. İşte gerçek sınırlar:

01Merkezî anahtar depolama — çok katmanlı koruma altında.

Kontrol paneli, tüm sunucu filosuna ait şifreli erişim anahtarlarını saklar. Doğal olarak sistemin en hassas bileşenidir — ve onu buna uygun şekilde koruruz.

Onu ne korur: ağır sırlar veritabanında yalnızca şifreli metin olarak bulunur; şifreleme anahtarı (KEK) veritabanından ayrı saklanır; anahtarlar hiçbir zaman tarayıcıya ulaşmaz; ve bir sunucu silindiğinde sıfırlanır. Abonelik jetonlarının ek bir katmanı vardır — karma araması (hash lookup) ile birlikte AES-GCM — böylece KEK olmadan alınan bir veritabanı dökümü bile çalışan hiçbir /sub bağlantısı içermez.

Dürüst tavan: şifreleme, veritabanının kendisinin çalınmasına — bir yedeğin, bir kopyanın (replica) veya bir dökümün — karşı güvenilir biçimde korur. Ancak KEK ile veritabanının tek bir işleme açık olduğu panel ana makinesinin (host) tümüyle ele geçirilmesi riskini ortadan kaldırmaz. Bu yüzden savunmamızın asıl odağı, tam da ana makinenin ele geçirilmesini önlemektir: yalıtım, otomatik güvenlik güncellemeleri ve mümkün olan en küçük açık yüzey.

Özel bir KMS/HSM, yaklaşan güvenlik sürümlerinden birinde gelecektir.

02İlk bağlantıdaki Man-in-the-Middle (MITM) saldırısı riski neredeyse sıfıra indirilmiştir.

Bir sunucu eklediğinizde, ona tam olarak bir kez bağlanırız — girdiğiniz geçici bir parolayla. Man-in-the-Middle (MITM) saldırısının teorik olarak mümkün olduğu yer, tam da bu ilk bağlantıdır. Bunu birbirinden bağımsız birkaç önlemle etkisiz hâle getiririz; böylece pratik risk sıfıra iner.

Parola tek kullanımlıktır: tam olarak tek bir bağlantıya hizmet eder, bizim tarafımızda hiçbir yerde saklanmaz ve asla yeniden kullanılmaz. Özel anahtar ağ üzerinden hiçbir zaman gönderilmez — sonraki kimlik doğrulama parolaya değil, bir anahtar çiftine (açık anahtar kimlik doğrulaması, pubkey) dayanır.

Kurulumun hemen ardından sunucuda parola kimlik doğrulaması ve root oturumu devre dışı bırakılır, SSH portu değiştirilir ve erişim yalnızca anahtarlara çevrilir. O andan itibaren ele geçirilmiş bir parola bile hiçbir şeyi açmaz.

Sonraki her yönetim bağlantısı, sunucunun sabitlenmiş parmak izini doğrular (host-key pinning) — «ortadaki» ile değiştirilmiş bir sunucu reddedilir.

Sonuç olarak, dinleme yalnızca ilk kurulumun o birkaç saniyesi boyunca bizimle sunucu arasındaki ağ yolunda fiziksel olarak bulunan bir saldırgan için mümkün olurdu — ve bu uç durumda bile ele geçirilen veriler anında kullanılamaz hâle gelir.

03Sunucuya fiziksel erişim, VPS sağlayıcınızın elindedir.

Bu, yalnızca bizim değil, kiralanan her sunucunun bir özelliğidir: anlık görüntüler (snapshots), kurtarma (rescue) modu ve benzerleri sağlayıcının erişimindedir ve hiçbir yazılım buna karşı koruma sağlamaz. Buna karşılık, güvenilir bir sağlayıcı seçmek sizin elinizdedir ve sunucu tümüyle sizindir — istediğiniz zaman sağlayıcı değiştirebilir ya da makineyi silebilirsiniz.

04Bilinmeyen güvenlik açıkları (0-day) her zaman vardır.

Kimse mutlak koruma vaat edemez — her yazılımda yeni güvenlik açıkları ortaya çıkar. Bizim yaptığımız: güvenlik güncellemeleri otomatik olarak kurulur ve yeniden başlatma gerektiren düzeltmeler (çekirdek, bazen OpenSSH) yeniden başlatmanın ardından uygulanır — ister elle ister zamanlanmış olsun (bkz. SR-11).

05E-posta saklanır — asgari düzeyde ve işlevsel nedenlerle.

Oturum açmak için sizin e-postanız ve birkaç hizmet durumunda son kullanıcıların e-postası (bkz. SR-6). Yalnızca gerektiği kadar saklanır ve otomatik olarak temizlenir (bkz. risk 9).

06Oturum açma e-posta koduyla yapılır — henüz ayrı bir 2FA yok.

Oturum açma, e-postayla gelen tek kullanımlık bir koda dayandığından, posta kutunuz aslında hesabın anahtarıdır — iyi korunmaya değer. İkinci bir faktör henüz yok: bu aşama için makul, ama bilinmesinde fayda var.

07Veriler sınırlı bir süre saklanır ve otomatik olarak temizlenir.

Kişisel verileri yalnızca bir işlemin ihtiyaç duyduğu süre boyunca saklar, ardından otomatik olarak temizleriz. E-posta, mesaj gönderilir gönderilmez kuyruktan kaldırılır; başarılı bir ödeme olayının ham içeriği ise işlenir işlenmez kaldırılır.

Yalnızca bir şey daha uzun süre kalır: yeniden deneme ya da elle inceleme bekleyen ödeme olayları. Bunların özgün içeriği süresiz değil, 90 günlük etkinliksiz bir pencerenin sonuna kadar saklanır; bunun ardından kişisel veriler otomatik olarak silinir.

Arayüzde bir self servis «verilerimi sil» denetimi henüz yok — planlanıyor. Bu arada, destek ile iletişime geçerek hesabınızı, ilişkili verileriyle birlikte silebilirsiniz.

08Abonelik token'larının süresi dolmaz.

Bir /sub bağlantısı, manuel iptal veya kullanıcı silme işlemine kadar kalıcı bir hamiline (bearer) token'dır; otomatik süre dolumu veya döndürme (rotasyon) yoktur (sızdırılan bir bağlantı canlı kalır).

09Kullanıcı yedekleri, verileri sunucunuzun ötesine aktarır.

Google Drive veya S3'e yedek dışa aktarmayı etkinleştirirseniz, kullanıcı verileri sunucunuzdan ayrılır ve korunması artık kendi bulutunuza bağlı olur — bu rapor bunu ayrıca kapsamaz. Bu, sizin bilinçli tercihinizdir: bu özelliği kendiniz açarsınız.

sözümüze güvenmeyin

Bunu nasıl kontrol edersiniz.

Yukarıdaki her iddia herkese açık bir bahistir. Nerede yanıldığımızı veya abarttığımızı bulmaya sizi davet ediyoruz:

kulvar A

Kulvar A — klasik güvenlik açıkları (RCE, yetkilendirme atlatma, IDOR, sızıntılar vb.).

kulvar B

Kulvar B — bu raporu çürütme: herhangi bir SR-N'nin yanlış olduğunu kanıtlayın, ödül alın; düzeltmeyi herkese açık olarak yayımlayalım.

Bir şey mi buldunuz?

Yeniden üretilebilir bir kavram kanıtıyla bize yazın. 72 saat içinde yanıt veririz ve değerlendirmeyi kurum içinde yaparız.

security@createyourvpn.com/.well-known/security.txt · 90 gün sessizlik · güvenli liman