Ogłoszenie o podatności wpływającej na Enki Home

🔐 Zgłaszanie luki w zabezpieczeniach

W Enki Home bezpieczeństwo naszych użytkowników i ich danych jest absolutnym priorytetem. Jeśli zidentyfikowałeś(aś) podatność lub lukę w zabezpieczeniach naszej aplikacji mobilnej lub naszych systemów, zachęcamy do poinformowania nas o tym w następujący sposób:


🛡️  Polityka ujawniania podatności 

1. Zakres naszej polityki

Niniejsza polityka dotyczy każdej podatności, którą możesz odkryć w naszych systemach lub produktach.

🔍 Aktywa objęte zakresem:

  • Nasza gama połączonych produktów IoT (gniazdka, żarówki, kamery itp.)

  • Nasze oficjalne aplikacje mobilne (iOS i Android)

  • Nasza platforma chmurowa i powiązane z nią publicznie dostępne interfejsy API

🚫 Podatności wyłączone z zakresu:
Aby skoncentrować nasze wysiłki na najbardziej krytycznych zagrożeniach, nie przyjmujemy zgłoszeń dotyczących:

  • Ataki typu „odmowa usługi” (DoS/DDoS)

  • Wyniki zautomatyzowanych skanów bez konkretnego dowodu na możliwość wykorzystania luki

2. Zasady zaangażowania i „Bezpieczna Przystań” (Klauzula o nieagresji)

Zobowiązujemy się nie podejmować kroków prawnych przeciwko osobom zgłaszającym w dobrej wierze podatność, pod warunkiem przestrzegania następujących zasad:

  • Działasz w celu poprawy bezpieczeństwa, bez zamiaru szkodzenia naszej firmie lub naszym użytkownikom

  • Nie przeglądasz, nie modyfikujesz ani nie usuwasz żadnych danych, które do Ciebie nie należą

  • Dajesz nam rozsądny czas na naprawienie luki przed jej publicznym ujawnieniem (zasada skoordynowanego ujawniania)

  • Nie podejmujesz żadnych działań, które mogłyby obniżyć wydajność naszych usług (np. ataki DoS)


📧 Jak zgłosić lukę

Nasze zobowiązanie dotyczące obsługi podatności

Enki zobowiązuje się do przejrzystego i starannego obsługiwania zgłaszanych podatności. Zdefiniowaliśmy cztery poziomy krytyczności oparte na systemie oceny CVSS (Common Vulnerability Scoring System) lub równoważnej ocenie wewnętrznej.

Poziom krytyczności Opis (przykłady) Potwierdzenie odbioru i pierwsza ocena Cel naprawy
Krytyczny Umożliwia zdalne przejęcie kontroli nad produktem, masowy wyciek danych osobowych. 2 dni robocze 15 dni
Wysoki Umożliwia obejście ważnych mechanizmów bezpieczeństwa, dostęp do danych wrażliwych. 3 dni robocze 30 dni
Średni Umożliwia pogorszenie jakości usługi, ograniczony wyciek danych niewrażliwych. 5 dni roboczych 90 dni
Niski Luki w zabezpieczeniach o niewielkim wpływie lub trudne do wykorzystania. 10 dni roboczych Następna duża aktualizacja

Prosimy o wysłanie wiadomości e-mail na następujący adres:
📬 security@enki-home.com

W wiadomości prosimy o zawarcie jak największej ilości informacji, aby umożliwić nam zrozumienie i odtworzenie problemu. Twoje dane kontaktowe będą przetwarzane zgodnie z RODO. Dziękujemy za skorzystanie z poniższego szablonu w celu uporządkowania zgłoszenia.

Hello,

I would like to report a security vulnerability concerning one of your products. Here are the necessary details to identify and reproduce the issue:

1. Information about the affected component
- Object reference: [Insert product or component reference, e.g., "Model XYZ-2023", "Firmware v1.2.3"]
- Type of box/Object: [Specify the model of the box or the environment concerned, e.g., "Connect Box", "VLINK Bulb"]
- Software/firmware version: [Indicate the exact version, e.g., "Firmware 2.0.1", "Mobile app v2.5.1"]

2. Description of the vulnerability
- Type of flaw: [For example: "SQL Injection", "Buffer Overflow", "Weak Authentication"]
- Detailed description: [Precisely describe the vulnerability, its mechanism, and the conditions required to exploit it]
- Proof of concept (PoC): [If possible, provide steps to reproduce the flaw or an example of code]

3. Potential impact
- Possible consequences: [For example: "Unauthorized access to user data", "Remote code execution", "Denial of service"]

4. Contact information (optional but recommended)
- Name or Pseudonym: [For our thanks]
- Contact: [Your email]

5. Additional information
- Date of discovery: [DD/MM/YYYY]
- Other relevant details: [For example: "The flaw has been tested on several similar devices"]

📬 Odpowiedź i działania następcze

Po otrzymaniu zgłoszenia postępujemy w następujący sposób:

  1. Potwierdzenie odbioru Twojej wiadomości e-mail w zależności od krytyczności (patrz tabela).

  2. Ocena luki zgodnie z powyższymi kryteriami.

  3. Nawiązanie kontaktu w celu uzyskania dodatkowych informacji w razie potrzeby.

  4. Naprawa z priorytetem w zależności od poziomu krytyczności.

  5. Powiadomienie, gdy tylko luka zostanie naprawiona (w miarę możliwości).


🙏 Dziękujemy za Twoją czujność

Twój wkład w bezpieczeństwo naszej platformy jest cenny. Dziękujemy wszystkim osobom, które pomagają nam utrzymać wysoki poziom bezpieczeństwa dla wszystkich naszych użytkowników.


Powiązane artykuły

Wyślij zgłoszenie