Declaración de vulnerabilidad que afecta a Enki Home

🔐 Declaración de una vulnerabilidad de seguridad

En Enki Home, la seguridad de nuestros usuarios y de sus datos es una prioridad absoluta. Si has identificado una vulnerabilidad o una falla de seguridad en nuestra aplicación móvil o en nuestros sistemas, te invitamos a informarnos de la siguiente manera:


🛡️  Política de divulgación de vulnerabilidades 

1. Alcance de nuestra política

Esta política se aplica a cualquier vulnerabilidad que puedas descubrir en nuestros sistemas o productos.

🔍 Activos incluidos:

  • Nuestra gama de productos IoT conectados (enchufes, bombillas, cámaras, etc.)

  • Nuestras aplicaciones móviles oficiales (iOS y Android)

  • Nuestra plataforma en la nube y las API públicas asociadas

🚫 Vulnerabilidades excluidas del alcance:
Para centrar nuestros esfuerzos en las amenazas más críticas, no aceptamos informes relacionados con:

  • Ataques de denegación de servicio (DoS/DDoS)

  • Resultados de escaneos automatizados sin pruebas de explotabilidad concreta

2. Reglas de compromiso y "Safe Harbor" (Cláusula de no agresión)

Nos comprometemos a no emprender acciones legales contra cualquier persona que informe de buena fe una vulnerabilidad, siempre que se respeten las siguientes reglas:

  • Actúas con el objetivo de mejorar la seguridad, sin intención de dañar a nuestra empresa o a nuestros usuarios

  • No consultas, modificas ni eliminas datos que no te pertenecen

  • Nos concedes un plazo razonable para corregir la falla antes de cualquier divulgación pública (principio de divulgación coordinada)

  • No realizas ninguna acción que pueda degradar el rendimiento de nuestros servicios (ej.: ataques DoS)


📧 Cómo declarar una vulnerabilidad

Nuestro compromiso con el tratamiento de las vulnerabilidades

Enki se compromete a tratar las vulnerabilidades que se le informen de manera transparente y diligente. Hemos definido cuatro niveles de criticidad basados en el sistema de puntuación CVSS (Common Vulnerability Scoring System) o una evaluación interna equivalente.

Nivel de criticidad Descripción (Ejemplos) Acuse de recibo y primera evaluación Objetivo de corrección
Crítico Permite tomar el control remoto del producto, una fuga masiva de datos personales. 2 días laborables 15 días
Alto Permite eludir mecanismos de seguridad importantes, acceder a datos sensibles. 3 días laborables 30 días
Medio Permite una degradación del servicio, una fuga limitada de datos no sensibles. 5 días laborables 90 días
Bajo Vulnerabilidades con un impacto menor o difíciles de explotar. 10 días laborables Próxima actualización mayor

Por favor, envía un correo electrónico a la siguiente dirección:
📬 security@enki-home.com

En tu mensaje, incluye tanta información como sea posible para permitirnos comprender y reproducir el problema. Tus datos se tratarán conforme al RGPD. Te agradecemos usar la siguiente plantilla para estructurar tu informe.

Hello,

I would like to report a security vulnerability concerning one of your products. Here are the necessary details to identify and reproduce the issue:

1. Information about the affected component
- Object reference: [Insert product or component reference, e.g., "Model XYZ-2023", "Firmware v1.2.3"]
- Type of box/Object: [Specify the model of the box or the environment concerned, e.g., "Connect Box", "VLINK Bulb"]
- Software/firmware version: [Indicate the exact version, e.g., "Firmware 2.0.1", "Mobile app v2.5.1"]

2. Description of the vulnerability
- Type of flaw: [For example: "SQL Injection", "Buffer Overflow", "Weak Authentication"]
- Detailed description: [Precisely describe the vulnerability, its mechanism, and the conditions required to exploit it]
- Proof of concept (PoC): [If possible, provide steps to reproduce the flaw or an example of code]

3. Potential impact
- Possible consequences: [For example: "Unauthorized access to user data", "Remote code execution", "Denial of service"]

4. Contact information (optional but recommended)
- Name or Pseudonym: [For our thanks]
- Contact: [Your email]

5. Additional information
- Date of discovery: [DD/MM/YYYY]
- Other relevant details: [For example: "The flaw has been tested on several similar devices"]

📬 Respuesta y seguimiento

Tras recibir tu informe, este es nuestro procedimiento:

  1. Acuse de recibo de tu correo según la criticidad (ver tabla).
  2. Evaluación de la vulnerabilidad según los criterios anteriores.
  3. Contacto para solicitar precisiones si es necesario.
  4. Corrección priorizada según el nivel de criticidad.
  5. Notificación tan pronto como la vulnerabilidad esté resuelta (en la medida de lo posible).

🙏 Gracias por tu vigilancia

Tu contribución a la seguridad de nuestra plataforma es valiosa. Agradecemos a todas las personas que nos ayudan a mantener un alto nivel de seguridad para todos nuestros usuarios.


Artículos relacionados

Enviar una solicitud