Politique de divulgation des vulnérabilités de Roborock

Politique de divulgation des vulnérabilités de Roborock

Novembre 2023

Roborock est un fabricant leader d'aspirateurs IoT. Nous prenons soin de nos données et de notre système d'information.

Cette politique de divulgation des vulnérabilités s'applique à la divulgation et à la communication des vulnérabilités liées à l'application Roborock, aux aspirateurs et à notre serveur IoT.

Sur la base des décisions des services de gestion concernés et des dirigeants de l'entreprise et des besoins réels de la gestion de la sécurité de l'entreprise, les vulnérabilités sont collectées et communiquées par courrier électronique comme suit.

Cette politique de divulgation des vulnérabilités s'applique à toute vulnérabilité que vous envisagez de nous signaler (à l'« Organisation »). Nous vous recommandons de la lire attentivement avant de signaler une vulnérabilité et de toujours vous y conformer.

Nous apprécions ceux qui prennent le temps et font l'effort de signaler les vulnérabilités de sécurité conformément à cette politique. Cependant, nous n'offrons aucune récompense financière pour la divulgation de ces vulnérabilités.

Si vous pensez avoir trouvé une vulnérabilité de sécurité, veuillez nous soumettre votre rapport en utilisant le lien/l'e-mail suivant :

security@roborock.com

Dans votre rapport, veuillez inclure :

Détails de la vulnérabilité :

* Actif (adresse Web, IP, nom du produit ou du service) où la vulnérabilité peut être observée

* Faiblesse (par exemple CWE) (facultatif)

* Gravité (par exemple CVSS v3.0) (facultatif)

* Titre de la vulnérabilité (obligatoire)

* Description de la vulnérabilité (cela doit inclure un résumé, des fichiers justificatifs et d'éventuelles mesures d'atténuation ou recommandations) (obligatoire)

* Impact (que pourrait faire un attaquant ?) (obligatoire)

* Étapes à suivre pour reproduire le problème. Il doit s'agir d'une preuve de concept simple et non destructive. Cela permet de garantir un tri rapide et précis du rapport. Cela réduit également le risque de doublons ou d'exploitation malveillante de certaines vulnérabilités, comme le vol de sous-domaines. Coordonnées facultatives :

* Nom

* Adresse e-mail

Après avoir soumis votre signalement, nous vous répondrons dans un délai de 10 jours ouvrables et nous nous efforcerons de le traiter dans un délai de 30 jours ouvrables. Nous vous tiendrons également informé de l'avancement de notre dossier.

La priorité de correction est évaluée en examinant l’impact, la gravité et la complexité de l’exploitation.

Le traitement des signalements de vulnérabilité peut prendre un certain temps. N'hésitez pas à vous renseigner sur le

Nous vous recommandons d'éviter de le faire plus d'une fois tous les 30 jours. Cela permet à nos équipes de se concentrer sur la correction.

Nous vous informerons lorsque la vulnérabilité signalée sera corrigée et vous pourrez être invité à confirmer que la solution couvre correctement la vulnérabilité.

Une fois votre vulnérabilité corrigée, nous acceptons les demandes de divulgation de votre signalement. Nous souhaitons unifier les instructions aux utilisateurs concernés ; veuillez donc continuer à coordonner la publication de votre rapport avec nous.

Vous ne devez PAS :

* Enfreindre toute loi ou réglementation applicable.

* Accéder à des quantités de données inutiles, excessives ou importantes.

* Modifier les données dans les systèmes ou services de l’Organisation.

* Utiliser des outils d’analyse invasifs ou destructeurs de haute intensité pour trouver des vulnérabilités.

* Tenter ou signaler toute forme de déni de service, par exemple submerger un service avec un volume élevé de demandes.

* Perturber les services ou les systèmes de l’Organisation.