Roborocks retningslinjer for utlevering av sårbarhetsinformasjon
Roborocks retningslinjer for utlevering av sårbarhetsinformasjon
Nov. 2023
Roborock er en ledende produsent av IoT-støvsugere. Vi ivaretar våre data og vårt informasjonssystem.
Retningslinjene for utlevering av sårbarhetsinformasjon gjelder for utlevering av sårbarhetsinformasjon og kommunikasjon i tilknytning til Roborock-appen, støvsugere og IoT-serveren vår.
Basert på beslutninger tatt av relevante ledelsesorganer og ledere i selskapet samt de faktiske behovene selskapet har for sikkerhetsstyring, innhentes informasjon om sårbarheter og kommuniseres per e-post som følger.
Retningslinjene for utlevering av sårbarhetsinformasjon gjelder for alle sårbarheter du vurderer å rapportere til oss («organisasjonen»). Vi anbefaler å lese disse retningslinjene for utlevering av sårbarhetsinformasjon i sin helhet før du rapporterer en sårbarhet, og å alltid opptre i henhold til dem.
Vi verdsetter dem som bruker tid og krefter på å rapportere sikkerhetssårbarheter i henhold til disse retningslinjene. Vi tilbyr imidlertid ikke pengebelønninger for utlevering av sårbarhetsinformasjon.
Hvis du mener at du har funnet en sikkerhetssårbarhet, send rapporten din inn til oss ved å bruke følgende kobling/e-post:
security@roborock.com
Vennligst inkluder følgende informasjon:
Detaljer om sårbarheten:
* Sted (nettadresse, IP, produkt eller servicenavn) der sårbarheten kan ses
* Svakhet (f.eks. CWE) (valgfritt)
* Alvorlighetsgrad (f.eks. CVSS v3.0) (valgfritt)
* Navn på sårbarheten (obligatorisk)
* Beskrivelse av sårbarheten (dette bør inkludere en oppsummering, filer med støttende dokumentasjon og mulige utbedringer eller anbefalinger) (obligatorisk)
* Konsekvens (hva kan en angriper gjøre?) (obligatorisk)
* Trinn for å reprodusere. Disse bør være et godartet, ikke destruktivt konseptbevis. Dette bidrar til å sørge for at rapporten kan behandles raskt og nøyaktig. Det reduserer også sannsynligheten for dupliserte rapporter eller for ondsinnet utnyttelse av noen sårbarheter, slik som overtakelser av underdomener. Valgfri kontaktinformasjon:
* Navn
* E-postadresse
Etter at du har sendt inn rapporten, vil vi svare på den innen 10 virkedager og ha som mål å behandle rapporten innen 30 virkedager. Vi vil også ha som mål å holde deg informert om fremdriften.
Prioritering av utbedring vurderes ved å se på konsekvensene, alvorlighetsgraden og graden av kompleksitet for å utnytte sårbarheten.
Sårbarhetsrapporter kan ta noe tid å behandle eller håndtere. Du må gjerne be om en oppdatering om
status, men bør ikke gjøre det oftere enn hver 30. dag. På denne måten kan teamene våre fokusere på utbedringen.
Vi vil gi deg beskjed når den innrapporterte sårbarheten er utbedret, og du kan bli bedt om å bekrefte at løsningen håndterer sårbarheten på en tilstrekkelig måte.
Etter at sårbarheten har blitt løst, mottar vi gjerne forespørsler om å utlevere rapporten din. Vi vil gjerne samordne veiledning til berørte brukere, så vennligst fortsett å koordinere offentlig kommunikasjon med oss.
Du må IKKE:
* Begå brudd på noen gjeldende lover eller regelverk.
* Gå inn i unødvendige, overdrevent store eller betydelige mengder data.
* Endre data i organisasjonens systemer eller tjenester.
* Bruke høyintensive invaderende eller destruktive skanneverktøyer for å finne sårbarheter.
* Iverksette eller rapportere noen slags tjenestenektangrep, f.eks. oversvømme en tjeneste med et høyt volum av forespørsler.
* Forstyrre eller avbryte organisasjonens tjenester eller systemer.