Politique de divulgation des vulnérabilités de Roborock
Politique de divulgation des vulnérabilités de Roborock
Nov 2023
Roborock est un fabricant leader d'aspirateurs IoT. Nous prenons soin de nos données et de notre système d'information.
This vulnerability disclosure policy applies to vulnerability disclosure and communication related to Roborock APP, vacuum cleaners and our IoT server.
Sur la base de la décision des départements de gestion concernés et des dirigeants de l'entreprise ainsi que des besoins réels de la gestion de la sécurité de l'entreprise, les vulnérabilités sont collectées et communiquées par e-mail comme suit.
Cette politique de divulgation des vulnérabilités s'applique à toutes les vulnérabilités que vous envisagez de nous signaler (l'« Organisation »). Nous vous recommandons de lire entièrement cette politique de divulgation des vulnérabilités avant de signaler une vulnérabilité et d'agir toujours en conformité avec celle-ci.
Nous apprécions ceux qui prennent le temps et les efforts pour signaler les vulnérabilités de sécurité conformément à cette politique. Cependant, nous n'offrons pas de récompenses monétaires pour les divulgations de vulnérabilités.
Si vous pensez avoir trouvé une faille de sécurité, veuillez nous soumettre votre rapport en utilisant le lien/email suivant :
security@roborock.com
Dans votre rapport, veuillez inclure :
Détails de la vulnérabilité :
* Actif (adresse web, IP, nom du produit ou du service) où la vulnérabilité peut être observée
* Faiblesse (par ex. CWE) (optionnel)
* Gravité (par ex. CVSS v3.0) (optionnel)
* Titre de la vulnérabilité (obligatoire)
* Description de la vulnérabilité (cela doit inclure un résumé, des fichiers justificatifs et des mesures d'atténuation ou recommandations possibles) (obligatoire)
* Impact (ce qu’un attaquant pourrait faire) (obligatoire)
* Étapes à reproduire. Celles-ci doivent être bénignes, non destructrices, et constituer une preuve de concept. Cela permet de s'assurer que le rapport peut être trié rapidement et avec précision. Cela réduit également la probabilité de rapports en double ou d'exploitation malveillante de certaines vulnérabilités, telles que les prises de contrôle de sous-domaines. Coordonnées facultatives :
* Nom
* Adresse e-mail
Après avoir soumis votre rapport, nous répondrons à votre rapport dans un délai de 10 jours ouvrables et viserons à traiter votre rapport dans un délai de 30 jours ouvrables. Nous nous efforcerons également de vous tenir informé de l'avancement.
La priorité pour la remédiation est évaluée en examinant l'impact, la gravité et la complexité de l'exploitation.
Les rapports de vulnérabilité peuvent prendre un certain temps à être triés ou traités. Vous êtes invité à vous renseigner sur le
status mais devrait éviter de le faire plus d'une fois tous les 30 jours. Cela permet à nos équipes de se concentrer sur la remédiation.
Nous vous informerons lorsque la vulnérabilité signalée sera corrigée, et vous pourrez être invité à confirmer que la solution couvre adéquatement la vulnérabilité.
Une fois que votre vulnérabilité aura été résolue, nous accueillerons les demandes de divulgation de votre rapport. Nous souhaitons unifier les consignes à destination des utilisateurs concernés, veuillez donc continuer à coordonner la publication publique avec nous.
Vous ne devez PAS :
* Enfreindre toute loi ou réglementation applicable.
* Accéder à des données inutiles, excessives ou importantes.
* Modifier les données dans les systèmes ou services de l'Organisation.
* Utilisez des outils de scan invasifs ou destructeurs à haute intensité pour détecter les vulnérabilités.
* Tenter ou signaler toute forme de déni de service, par exemple submerger un service avec un volume élevé de requêtes.
* Perturber les services ou systèmes de l'organisation.
