🔐 Segnalazione di una falla di sicurezza
In Enki Home, la sicurezza dei nostri utenti e dei loro dati è una priorità assoluta. Se hai identificato una vulnerabilità o una falla di sicurezza nella nostra applicazione mobile o nei nostri sistemi, ti invitiamo a informarci nel modo seguente:
🛡️ Politica di divulgazione delle vulnerabilità
1. Ambito della nostra politica
Questa politica si applica a qualsiasi vulnerabilità che potresti scoprire sui nostri sistemi o prodotti.
🔍 Asset interessati:
La nostra gamma di prodotti IoT connessi (prese, lampadine, telecamere, ecc.)
Le nostre applicazioni mobili ufficiali (iOS e Android)
La nostra piattaforma cloud e le API associate accessibili pubblicamente
🚫 Vulnerabilità escluse dall'ambito:
Per concentrare i nostri sforzi sulle minacce più critiche, non accettiamo segnalazioni riguardanti:
Attacchi di tipo Denial of Service (DoS/DDoS)
I risultati di scansioni automatizzate senza prove concrete di sfruttabilità
2. Regole di ingaggio e "Safe Harbor" (Clausola di non aggressione)
Ci impegniamo a non intraprendere azioni legali contro chiunque segnali in buona fede una vulnerabilità, a condizione che vengano rispettate le seguenti regole:
Agisci con l'obiettivo di migliorare la sicurezza, senza l'intenzione di danneggiare la nostra azienda o i nostri utenti
Non consulti, modifichi o elimini dati che non ti appartengono
Ci concedi un tempo ragionevole per correggere la falla prima di qualsiasi divulgazione pubblica (principio della divulgazione coordinata)
Non intraprendi alcuna azione che possa degradare le prestazioni dei nostri servizi (es.: attacchi DoS)
📧 Come segnalare una falla
Il nostro impegno nel trattamento delle vulnerabilità
Enki si impegna a trattare le vulnerabilità segnalate in modo trasparente e diligente. Abbiamo definito quattro livelli di criticità basati sul sistema di punteggio CVSS (Common Vulnerability Scoring System) o su una valutazione interna equivalente.
| Livello di Criticità | Descrizione (Esempi) | Conferma di ricezione e prima valutazione | Obiettivo di correzione |
| Critico | Consente il controllo remoto del prodotto, una fuga massiccia di dati personali. | 2 giorni lavorativi | 15 giorni |
| Alto | Consente di aggirare importanti meccanismi di sicurezza, di accedere a dati sensibili. | 3 giorni lavorativi | 30 giorni |
| Medio | Consente un degrado del servizio, una fuga limitata di dati non sensibili. | 5 giorni lavorativi | 90 giorni |
| Basso | Falle di sicurezza con impatto minore o difficili da sfruttare. | 10 giorni lavorativi | Prossimo aggiornamento principale |
Si prega di inviare un'e-mail al seguente indirizzo:
📬 security@enki-home.com
Nel tuo messaggio, ti preghiamo di includere quante più informazioni possibili per permetterci di comprendere e riprodurre il problema. I tuoi dati di contatto saranno trattati in conformità con il GDPR. Ti ringraziamo di utilizzare il modello sottostante per strutturare la tua segnalazione.
Hello, I would like to report a security vulnerability concerning one of your products. Here are the necessary details to identify and reproduce the issue: 1. Information about the affected component - Object reference: [Insert product or component reference, e.g., "Model XYZ-2023", "Firmware v1.2.3"] - Type of box/Object: [Specify the model of the box or the environment concerned, e.g., "Connect Box", "VLINK Bulb"] - Software/firmware version: [Indicate the exact version, e.g., "Firmware 2.0.1", "Mobile app v2.5.1"] 2. Description of the vulnerability - Type of flaw: [For example: "SQL Injection", "Buffer Overflow", "Weak Authentication"] - Detailed description: [Precisely describe the vulnerability, its mechanism, and the conditions required to exploit it] - Proof of concept (PoC): [If possible, provide steps to reproduce the flaw or an example of code] 3. Potential impact - Possible consequences: [For example: "Unauthorized access to user data", "Remote code execution", "Denial of service"] 4. Contact information (optional but recommended) - Name or Pseudonym: [For our thanks] - Contact: [Your email] 5. Additional information - Date of discovery: [DD/MM/YYYY] - Other relevant details: [For example: "The flaw has been tested on several similar devices"]
📬 Risposta e follow-up
Dopo aver ricevuto la tua segnalazione, ecco come procediamo:
Conferma di ricezione della tua e-mail in base alla criticità (vedi tabella) .
Valutazione della falla secondo i criteri sopra indicati.
Contatto per richiedere chiarimenti, se necessario.
Correzione prioritaria in base al livello di criticità.
Notifica non appena la falla viene risolta (per quanto possibile).
🙏 Grazie per la vostra vigilanza
Il tuo contributo alla sicurezza della nostra piattaforma è prezioso. Ringraziamo tutte le persone che ci aiutano a mantenere un alto livello di sicurezza per l’insieme dei nostri utenti.