Δήλωση ευπάθειας που επηρεάζει το Enki Home

🔐 Δήλωση κενού ασφαλείας

Στην Enki Home, η ασφάλεια των χρηστών μας και των δεδομένων τους αποτελεί απόλυτη προτεραιότητα. Εάν έχετε εντοπίσει μια ευπάθεια ή ένα κενό ασφαλείας στην εφαρμογή μας για κινητά ή στα συστήματά μας, σας καλούμε να μας ενημερώσετε με τον ακόλουθο τρόπο:


🛡️  Πολιτική γνωστοποίησης ευπαθειών 

1. Πεδίο εφαρμογής της πολιτικής μας

Αυτή η πολιτική ισχύει για οποιαδήποτε ευπάθεια που μπορεί να ανακαλύψετε στα συστήματα ή τα προϊόντα μας.

🔍 Σχετικά στοιχεία ενεργητικού:

  • Η γκάμα των συνδεδεμένων προϊόντων μας IoT (πρίζες, λαμπτήρες, κάμερες κ.λπ.)

  • Οι επίσημες εφαρμογές μας για κινητά (iOS και Android)

  • Η πλατφόρμα cloud μας και τα σχετικά общедоступна API

🚫 Ευπάθειες που εξαιρούνται από το πεδίο εφαρμογής:
Για να επικεντρώσουμε τις προσπάθειές μας στις πιο κρίσιμες απειλές, δεν δεχόμαστε αναφορές που αφορούν:

  • Επιθέσεις άρνησης υπηρεσίας (DoS/DDoS)

  • Αποτελέσματα αυτοματοποιημένων σαρώσεων χωρίς συγκεκριμένη απόδειξη εκμεταλλευσιμότητας

2. Κανόνες εμπλοκής και "Ασφαλές Λιμάνι" (Ρήτρα μη επίθεσης)

Δεσμευόμαστε να μην κινήσουμε νομικές διαδικασίες εναντίον οποιουδήποτε αναφέρει καλόπιστα μια ευπάθεια, υπό την προϋπόθεση ότι τηρούνται οι ακόλουθοι κανόνες:

  • Ενεργείτε με σκοπό τη βελτίωση της ασφάλειας, χωρίς πρόθεση να βλάψετε την εταιρεία μας ή τους χρήστες μας

  • Δεν προβάλλετε, τροποποιείτε ή διαγράφετε δεδομένα που δεν σας ανήκουν

  • Μας παραχωρείτε εύλογο χρονικό διάστημα για να διορθώσουμε την ευπάθεια πριν από οποιαδήποτε δημόσια γνωστοποίηση (αρχή της συντονισμένης γνωστοποίησης)

  • Δεν εκτελείτε καμία ενέργεια που θα μπορούσε να υποβαθμίσει την απόδοση των υπηρεσιών μας (π.χ. επιθέσεις DoS)


📧 Πώς να δηλώσετε μια ευπάθεια

Η δέσμευσή μας για την αντιμετώπιση των ευπαθειών

Η Enki δεσμεύεται να χειρίζεται τις ευπάθειες που της αναφέρονται με διαφάνεια και επιμέλεια. Έχουμε ορίσει τέσσερα επίπεδα κρισιμότητας με βάση το σύστημα βαθμολόγησης CVSS (Common Vulnerability Scoring System) ή μια ισοδύναμη εσωτερική αξιολόγηση.

Επίπεδο Κρισιμότητας Περιγραφή (Παραδείγματα) Επιβεβαίωση παραλαβής και πρώτη αξιολόγηση Στόχος διόρθωσης
Κρίσιμο Επιτρέπει τον απομακρυσμένο έλεγχο του προϊόντος, μαζική διαρροή προσωπικών δεδομένων. 2 εργάσιμες ημέρες 15 ημέρες
Υψηλό Επιτρέπει την παράκαμψη σημαντικών μηχανισμών ασφαλείας, την πρόσβαση σε ευαίσθητα δεδομένα. 3 εργάσιμες ημέρες 30 ημέρες
Μέτριο Επιτρέπει την υποβάθμιση της υπηρεσίας, περιορισμένη διαρροή μη ευαίσθητων δεδομένων. 5 εργάσιμες ημέρες 90 ημέρες
Χαμηλό Ευπάθειες ασφαλείας με μικρό αντίκτυπο ή δύσκολες στην εκμετάλλευση. 10 εργάσιμες ημέρες Επόμενη σημαντική ενημέρωση

Παρακαλούμε στείλτε ένα email στην ακόλουθη διεύθυνση:
📬 security@enki-home.com

Στο μήνυμά σας, παρακαλούμε συμπεριλάβετε όσο το δυνατόν περισσότερες πληροφορίες για να μπορέσουμε να κατανοήσουμε και να αναπαραγάγουμε το πρόβλημα. Τα στοιχεία επικοινωνίας σας θα υποβληθούν σε επεξεργασία σύμφωνα με τον ΓΚΠΔ. Σας ευχαριστούμε που χρησιμοποιείτε το πρότυπο παρακάτω για να δομήσετε την αναφορά σας.

Hello,

I would like to report a security vulnerability concerning one of your products. Here are the necessary details to identify and reproduce the issue:

1. Information about the affected component
- Object reference: [Insert product or component reference, e.g., "Model XYZ-2023", "Firmware v1.2.3"]
- Type of box/Object: [Specify the model of the box or the environment concerned, e.g., "Connect Box", "VLINK Bulb"]
- Software/firmware version: [Indicate the exact version, e.g., "Firmware 2.0.1", "Mobile app v2.5.1"]

2. Description of the vulnerability
- Type of flaw: [For example: "SQL Injection", "Buffer Overflow", "Weak Authentication"]
- Detailed description: [Precisely describe the vulnerability, its mechanism, and the conditions required to exploit it]
- Proof of concept (PoC): [If possible, provide steps to reproduce the flaw or an example of code]

3. Potential impact
- Possible consequences: [For example: "Unauthorized access to user data", "Remote code execution", "Denial of service"]

4. Contact information (optional but recommended)
- Name or Pseudonym: [For our thanks]
- Contact: [Your email]

5. Additional information
- Date of discovery: [DD/MM/YYYY]
- Other relevant details: [For example: "The flaw has been tested on several similar devices"]

📬 Απάντηση και παρακολούθηση

Μετά την παραλαβή της αναφοράς σας, ακολουθεί ο τρόπος με τον οποίο προχωράμε:

  1. Επιβεβαίωση παραλαβής του email σας ανάλογα με την κρισιμότητα (βλ. πίνακα).

  2. Αξιολόγηση της ευπάθειας σύμφωνα με τα παραπάνω κριτήρια.

  3. Επικοινωνία για να ζητήσουμε διευκρινίσεις εάν είναι απαραίτητο.

  4. Διόρθωση με προτεραιότητα ανάλογα με το επίπεδο κρισιμότητας.

  5. Ειδοποίηση μόλις επιλυθεί η ευπάθεια (στο μέτρο του δυνατού).


🙏 Σας ευχαριστούμε για την επαγρύπνησή σας

Η συμβολή σας στην ασφάλεια της πλατφόρμας μας είναι πολύτιμη. Ευχαριστούμε όλους όσους μας βοηθούν να διατηρήσουμε υψηλό επίπεδο ασφάλειας για όλους τους χρήστες μας.


Σχετικά άρθρα

Υποβολή αιτήματος