Novembre 2023.

Roborock est un fabricant de premier plan d’aspirateurs IoT. Nous prenons soin de nos données et de notre système informatique.

La présente politique de divulgation des vulnérabilités s’applique à la divulgation et à la communication des vulnérabilités liées à l’application Roborock, aux aspirateurs et à notre serveur IoT.

Selon la décision des services de gestion et des dirigeants concernés de l’entreprise, et en fonction des besoins réels de la gestion de la sécurité de l’entreprise, les vulnérabilités sont recueillies et communiquées par courriel comme suit.

La présente politique de divulgation des vulnérabilités s’applique à toute vulnérabilité que vous envisagez de signaler à notre organisation (l’« organisation »). Nous vous recommandons de lire attentivement cette politique de divulgation des vulnérabilités avant de signaler une vulnérabilité et de toujours la respecter.

Nous apprécions ceux qui prennent le temps et l’effort de signaler les vulnérabilités de sécurité conformément à cette politique. Cependant, nous n’offrons pas de récompenses financières pour les divulgations de vulnérabilités.

Si vous croyez avoir découvert une faille de sécurité, veuillez nous envoyer votre rapport par le lien ou l’adresse courriel suivant:

security@roborock.com

Dans votre rapport, veuillez inclure:

Détails de la vulnérabilité:

• Ressource (adresse Web, IP, nom du produit ou du service) où la vulnérabilité peut être observée

• Faiblesse (par ex. CWE) (facultatif)

• Gravité (par ex. CVSS v3.0) (facultatif)

• Intitulé de la vulnérabilité (obligatoire)

• Description de la vulnérabilité (doit inclure un résumé, des documents justificatifs et des mesures d’atténuation ou des recommandations possibles) (obligatoire)

• Impact (qu’est-ce qu’un attaquant pourrait faire?) (obligatoire)

• Étapes de reproduction. Il doit s’agir d’une preuve de concept bénigne et non destructive. Cela permet d’assurer un tri rapide et précis du rapport. Cela réduit également le risque de doublons ou d’exploitation malveillante de certaines vulnérabilités, comme les prises de contrôle de sous-domaines. Coordonnées optionnelles:

• Nom

• Adresse courriel

Après avoir soumis votre rapport, nous vous répondrons dans un délai de 10 jours ouvrés et nous nous efforcerons de le traiter dans un délai de 30 jours ouvrés. Nous vous tiendrons également au courant de notre avancement.

La priorité de correction est évaluée en fonction de l’impact, de la gravité et de la complexité de l’exploitation.

Le tri ou le traitement des rapports de vulnérabilité peut prendre un certain temps. Vous pouvez vous renseigner sur

l’état d’avancement, mais évitez de le faire plus d’une fois tous les 30 jours. Cela permet à nos équipes de se concentrer sur la correction.

Nous vous aviserons lorsque la vulnérabilité signalée sera corrigée et vous pourrez être invité à confirmer que la solution couvre correctement la vulnérabilité.

Une fois votre vulnérabilité corrigée, nous acceptons les demandes de divulgation de votre rapport. Nous voulons unifier les lignes directrices aux utilisateurs touchés; veuillez donc continuer à coordonner la publication avec nous.

Vous ne devez PAS:

• Enfreindre les lois ou les règlements en vigueur;

• Accéder à des quantités de données inutiles, excessives ou importantes;

• Modifier les données des systèmes ou services de l’organisation;

• Utiliser des outils d’analyse invasifs ou destructeurs de haute intensité pour détecter les vulnérabilités;

• Tenter d’effectuer ou signaler toute forme de déni de service, par exemple en surchargeant un service avec un volume élevé de requêtes;

• Perturber les services ou systèmes de l’organisation.