Politica di divulgazione delle vulnerabilità di Roborock
Politica sulla divulgazione delle vulnerabilità di Roborock
Politica sulla divulgazione delle vulnerabilità di Roborock
Nov 2023
Roborock è un produttore leader di aspirapolvere IoT. Ci prendiamo cura dei nostri dati e del nostro sistema informativo.
La presente politica sulla divulgazione delle vulnerabilità si applica alla divulgazione e alle comunicazioni sulla vulnerabilità relative all'app Roborock, agli aspirapolvere e al nostro server IoT.
In base alle decisioni dei dipartimenti gestionali e dei dirigenti competenti dell'azienda e alle effettive esigenze di gestione della sicurezza aziendale, le vulnerabilità vengono raccolte e comunicate via e-mail come segue.
La presente politica sulla divulgazione delle vulnerabilità si applica a tutte le vulnerabilità che intendete segnalarci (a noi, l'"Organizzazione"). Consigliamo di leggere attentamente questa politica sulla divulgazione delle vulnerabilità prima di segnalarne una e di agire sempre nel rispetto della stessa.
Apprezziamo coloro che dedicano tempo e impegno per segnalare vulnerabilità della sicurezza in conformità con la presente politica. Tuttavia, non offriamo ricompense in denaro per la divulgazione di vulnerabilità.
Se ritenete di aver trovato una vulnerabilità di sicurezza, vi invitiamo a inviarci la vostra segnalazione utilizzando il seguente link/indirizzo e-mail:
security@roborock.com
Nella vostra segnalazione vi preghiamo di includere:
Dettagli relativi alla vulnerabilità:
* Risorsa (indirizzo web, IP, nome del prodotto o del servizio) in cui può essere osservata la vulnerabilità
* Debolezza (per es. CWE) (opzionale)
* Gravità (per es. CVSS v3.0) (opzionale)
* Titolo della vulnerabilità (obbligatorio)
* Descrizione della vulnerabilità (questo punto dovrebbe includere un riepilogo, file di supporto e possibili misure di mitigazione o raccomandazioni) (obbligatorio)
* Impatto (cosa potrebbe fare un aggressore?) (obbligatorio)
* Passi necessari per riprodurre la vulnerabilità. Deve trattarsi di una dimostrazione concettuale benigna e non distruttiva. Questo contribuisce a garantire che la segnalazione possa essere smistata in modo rapido e accurato. Riduce inoltre la probabilità di segnalazioni duplicate o di sfruttamento dannoso di alcune vulnerabilità, come l'acquisizione di sottodomini. Informazioni di contatto opzionali:
* Nome
* Indirizzo e-mail
Dopo l’invio della segnalazione, risponderemo entro 10 giorni lavorativi e cercheremo di esaminarla entro 30 giorni lavorativi. Vi manterremo inoltre informati dell’avanzamento dell’esame.
La priorità della ricerca del rimedio viene valutata esaminando l'impatto, la gravità e la complessità dell’eventuale sfruttamento.
La valutazione e la gestione delle segnalazioni di vulnerabilità potrebbe richiedere del tempo. Potete richiedere informazioni sullo stato della vostra segnalazione
ma vi invitiamo a evitare di farlo con una frequenza maggiore di una volta ogni 30 giorni. Questo permette ai nostri team di concentrarsi sulla risoluzione.
Vi informeremo quando la vulnerabilità segnalata sarà risolta e potreste essere invitati a verificare che la soluzione risolva adeguatamente la vulnerabilità.
Una volta risolta la vulnerabilità saremo lieti di ricevere richieste affinché la vostra segnalazione venga divulgata. Vorremmo uniformare le linee guida per gli utenti interessati, pertanto vi preghiamo di continuare a coordinare con noi il rilascio al pubblico.
Ci aspettiamo che voi EVITIATE di:
* Violare alcuna legge o normativa.
* Effettuare l’accesso a quantità di dati non necessarie, eccessive o significative.
* Modificare i dati nei sistemi o nei servizi dell'Organizzazione.
* Utilizzare strumenti di scansione invasivi o distruttivi ad alta intensità per individuare le vulnerabilità.
* Tentare o segnalare qualsiasi forma di “denial of service”, come sovraccaricare un servizio con un volume elevato di richieste.
* Interrompere i servizi o i sistemi dell'organizzazione.