Dichiarazione di vulnerabilità che interessa Enki Home

🔐 Segnalazione di una falla di sicurezza

In Enki Home, la sicurezza dei nostri utenti e dei loro dati è una priorità assoluta. Se hai identificato una vulnerabilità o una falla di sicurezza nella nostra applicazione mobile o nei nostri sistemi, ti invitiamo a informarci nel modo seguente:


🛡️  Politica di divulgazione delle vulnerabilità 

1. Ambito della nostra politica

Questa politica si applica a qualsiasi vulnerabilità che potresti scoprire sui nostri sistemi o prodotti.

🔍 Asset interessati:

  • La nostra gamma di prodotti IoT connessi (prese, lampadine, telecamere, ecc.)

  • Le nostre applicazioni mobili ufficiali (iOS e Android)

  • La nostra piattaforma cloud e le API associate accessibili pubblicamente

🚫 Vulnerabilità escluse dall'ambito:
Per concentrare i nostri sforzi sulle minacce più critiche, non accettiamo segnalazioni riguardanti:

  • Attacchi di tipo Denial of Service (DoS/DDoS)

  • I risultati di scansioni automatizzate senza prove concrete di sfruttabilità

2. Regole di ingaggio e "Safe Harbor" (Clausola di non aggressione)

Ci impegniamo a non intraprendere azioni legali contro chiunque segnali in buona fede una vulnerabilità, a condizione che vengano rispettate le seguenti regole:

  • Agisci con l'obiettivo di migliorare la sicurezza, senza l'intenzione di danneggiare la nostra azienda o i nostri utenti

  • Non consulti, modifichi o elimini dati che non ti appartengono

  • Ci concedi un tempo ragionevole per correggere la falla prima di qualsiasi divulgazione pubblica (principio della divulgazione coordinata)

  • Non intraprendi alcuna azione che possa degradare le prestazioni dei nostri servizi (es.: attacchi DoS)


📧 Come segnalare una falla

Il nostro impegno nel trattamento delle vulnerabilità

Enki si impegna a trattare le vulnerabilità segnalate in modo trasparente e diligente. Abbiamo definito quattro livelli di criticità basati sul sistema di punteggio CVSS (Common Vulnerability Scoring System) o su una valutazione interna equivalente.

Livello di Criticità Descrizione (Esempi) Conferma di ricezione e prima valutazione Obiettivo di correzione
Critico Consente il controllo remoto del prodotto, una fuga massiccia di dati personali. 2 giorni lavorativi 15 giorni
Alto Consente di aggirare importanti meccanismi di sicurezza, di accedere a dati sensibili. 3 giorni lavorativi 30 giorni
Medio Consente un degrado del servizio, una fuga limitata di dati non sensibili. 5 giorni lavorativi 90 giorni
Basso Falle di sicurezza con impatto minore o difficili da sfruttare. 10 giorni lavorativi Prossimo aggiornamento principale

Si prega di inviare un'e-mail al seguente indirizzo:
📬 security@enki-home.com

Nel tuo messaggio, ti preghiamo di includere quante più informazioni possibili per permetterci di comprendere e riprodurre il problema. I tuoi dati di contatto saranno trattati in conformità con il GDPR. Ti ringraziamo di utilizzare il modello sottostante per strutturare la tua segnalazione.

Hello,

I would like to report a security vulnerability concerning one of your products. Here are the necessary details to identify and reproduce the issue:

1. Information about the affected component
- Object reference: [Insert product or component reference, e.g., "Model XYZ-2023", "Firmware v1.2.3"]
- Type of box/Object: [Specify the model of the box or the environment concerned, e.g., "Connect Box", "VLINK Bulb"]
- Software/firmware version: [Indicate the exact version, e.g., "Firmware 2.0.1", "Mobile app v2.5.1"]

2. Description of the vulnerability
- Type of flaw: [For example: "SQL Injection", "Buffer Overflow", "Weak Authentication"]
- Detailed description: [Precisely describe the vulnerability, its mechanism, and the conditions required to exploit it]
- Proof of concept (PoC): [If possible, provide steps to reproduce the flaw or an example of code]

3. Potential impact
- Possible consequences: [For example: "Unauthorized access to user data", "Remote code execution", "Denial of service"]

4. Contact information (optional but recommended)
- Name or Pseudonym: [For our thanks]
- Contact: [Your email]

5. Additional information
- Date of discovery: [DD/MM/YYYY]
- Other relevant details: [For example: "The flaw has been tested on several similar devices"]

📬 Risposta e follow-up

Dopo aver ricevuto la tua segnalazione, ecco come procediamo:

  1. Conferma di ricezione della tua e-mail in base alla criticità (vedi tabella) .

  2. Valutazione della falla secondo i criteri sopra indicati.

  3. Contatto per richiedere chiarimenti, se necessario.

  4. Correzione prioritaria in base al livello di criticità.

  5. Notifica non appena la falla viene risolta (per quanto possibile).


🙏 Grazie per la vostra vigilanza

Il tuo contributo alla sicurezza della nostra piattaforma è prezioso. Ringraziamo tutte le persone che ci aiutano a mantenere un alto livello di sicurezza per l’insieme dei nostri utenti.


Articoli correlati

Invia una richiesta