Politique de divulgation des vulnérabilités Roborock

Nov. 2023

Roborock est l’un des leaders dans la fabrication d’aspirateurs IoT. Nous prenons très au sérieux notre système de gestion des données et de l’information.

Cette politique de divulgation des vulnérabilités s’applique à la divulgation des vulnérabilités et à la communication relatives à l’application Roborock, aux aspirateurs et à notre serveur IoT. 

Conformément à la décision des services de gestion concernés et des dirigeants de la société, et aux besoins effectifs de la société en matière de gestion de la sécurité, les vulnérabilités sont recueillies et transmises par e-mail comme énoncé ci-dessous.

Cette politique de divulgation des vulnérabilités s’applique à toute vulnérabilité que vous envisagez de nous signaler (l’ « Organisation »). Nous vous recommandons de lire intégralement cette politique de divulgation des vulnérabilités avant de nous signaler une vulnérabilité et de toujours agir dans le respect de celle-ci.

Nous valorisons le temps et les efforts accordés pour signaler des vulnérabilités de sécurité conformément à cette politique. Cependant, nous ne proposons pas de récompenses monétaires pour les divulgations de vulnérabilités.

Si vous pensez avoir trouvé une vulnérabilité de sécurité, nous vous prions de bien vouloir nous transmettre votre rapport par le biais du lien/de l’e-mail suivant :

security@roborock.com

Veuillez inclure les éléments suivants dans votre rapport :

Détails de la vulnérabilité :

* Actif (adresse Web, IP, nom du produit ou du service) sur lequel la vulnérabilité peut être observée 

* Faiblesse (p. ex. CWE) (facultatif)

* Gravité (p. ex. CVSS v3.0) (facultatif) 

* Titre de la vulnérabilité (obligatoire)

* Description de la vulnérabilité (elle doit inclure un résumé, des dossiers justificatifs et de possibles atténuations ou recommandations) (obligatoire) 

* Impact (que pourrait faire un attaquant ?) (obligatoire) 

* Étapes à reproduire. Il doit s’agir d’une preuve de concept anodine qui ne doit pas entrainer de destruction. Cela permet de garantir que le rapport peut être trié rapidement et de manière appropriée. Cela réduit également la possibilité de rapports reçus en double ou de l’exploitation malveillante de certaines vulnérabilités telle que les prises de contrôle de sous-domaines. Coordonnées facultatives : 

* Nom 

* Adresse électronique 

Une fois votre rapport transmis, nous y répondrons dans un délai de 1 0 jours ouvrables et nous nous efforcerons de le catégoriser dans un délai de 3 0 jours ouvrables. Nous tâcherons également de vous informer de l’avancement du dossier. 

La priorité des mesures correctives est évaluée en fonction de l’impact, de la gravité et de la complexité de la vulnérabilité. 

Le tri ou le traitement des rapports de vulnérabilité peut prendre un certain temps. Vous pouvez demander à obtenir des informations sur le

statut mais vous devez éviter de le faire plus d’une fois tous les 30 jours. Cela permet à nos équipes de se concentrer sur les mesures correctives. 

Nous vous informerons lorsque la vulnérabilité signalée sera corrigée et vous pourrez être invité(e) à confirmer que la solution couvre la vulnérabilité de manière adéquate.

Une fois que la vulnérabilité a été corrigée, nous recevrons volontiers les demandes de divulgation de votre rapport. Nous souhaitons uniformiser les conseils destinés aux utilisateurs concernés, ainsi nous vous remercions de continuer à travailler en coordination avec nous pour toute divulgation publique. 

Vous ne devez PAS : 

* Enfreindre de lois ou réglementations applicables. 

* Accéder à des quantités de données inutiles, excessives ou importantes. 

* Modifier des données dans les systèmes ou services de l’Organisation. 

* Utiliser des outils d'analyse de haute intensité, invasifs ou destructeurs pour détecter les vulnérabilités. 

* Essayer ou signaler toute forme de refus de service, comme surcharger un service avec un volume important de demandes. 

* Perturber les systèmes ou services de l’Organisation.