🔐 Zgłaszanie luki w zabezpieczeniach
W Enki Home bezpieczeństwo naszych użytkowników i ich danych jest absolutnym priorytetem. Jeśli zidentyfikowałeś(aś) podatność lub lukę w zabezpieczeniach naszej aplikacji mobilnej lub naszych systemów, zachęcamy do poinformowania nas o tym w następujący sposób:
🛡️ Polityka ujawniania podatności
1. Zakres naszej polityki
Niniejsza polityka dotyczy każdej podatności, którą możesz odkryć w naszych systemach lub produktach.
🔍 Aktywa objęte zakresem:
Nasza gama połączonych produktów IoT (gniazdka, żarówki, kamery itp.)
Nasze oficjalne aplikacje mobilne (iOS i Android)
Nasza platforma chmurowa i powiązane z nią publicznie dostępne interfejsy API
🚫 Podatności wyłączone z zakresu:
Aby skoncentrować nasze wysiłki na najbardziej krytycznych zagrożeniach, nie przyjmujemy zgłoszeń dotyczących:
Ataki typu „odmowa usługi” (DoS/DDoS)
Wyniki zautomatyzowanych skanów bez konkretnego dowodu na możliwość wykorzystania luki
2. Zasady zaangażowania i „Bezpieczna Przystań” (Klauzula o nieagresji)
Zobowiązujemy się nie podejmować kroków prawnych przeciwko osobom zgłaszającym w dobrej wierze podatność, pod warunkiem przestrzegania następujących zasad:
Działasz w celu poprawy bezpieczeństwa, bez zamiaru szkodzenia naszej firmie lub naszym użytkownikom
Nie przeglądasz, nie modyfikujesz ani nie usuwasz żadnych danych, które do Ciebie nie należą
Dajesz nam rozsądny czas na naprawienie luki przed jej publicznym ujawnieniem (zasada skoordynowanego ujawniania)
Nie podejmujesz żadnych działań, które mogłyby obniżyć wydajność naszych usług (np. ataki DoS)
📧 Jak zgłosić lukę
Nasze zobowiązanie dotyczące obsługi podatności
Enki zobowiązuje się do przejrzystego i starannego obsługiwania zgłaszanych podatności. Zdefiniowaliśmy cztery poziomy krytyczności oparte na systemie oceny CVSS (Common Vulnerability Scoring System) lub równoważnej ocenie wewnętrznej.
| Poziom krytyczności | Opis (przykłady) | Potwierdzenie odbioru i pierwsza ocena | Cel naprawy |
| Krytyczny | Umożliwia zdalne przejęcie kontroli nad produktem, masowy wyciek danych osobowych. | 2 dni robocze | 15 dni |
| Wysoki | Umożliwia obejście ważnych mechanizmów bezpieczeństwa, dostęp do danych wrażliwych. | 3 dni robocze | 30 dni |
| Średni | Umożliwia pogorszenie jakości usługi, ograniczony wyciek danych niewrażliwych. | 5 dni roboczych | 90 dni |
| Niski | Luki w zabezpieczeniach o niewielkim wpływie lub trudne do wykorzystania. | 10 dni roboczych | Następna duża aktualizacja |
Prosimy o wysłanie wiadomości e-mail na następujący adres:
📬 security@enki-home.com
W wiadomości prosimy o zawarcie jak największej ilości informacji, aby umożliwić nam zrozumienie i odtworzenie problemu. Twoje dane kontaktowe będą przetwarzane zgodnie z RODO. Dziękujemy za skorzystanie z poniższego szablonu w celu uporządkowania zgłoszenia.
Hello, I would like to report a security vulnerability concerning one of your products. Here are the necessary details to identify and reproduce the issue: 1. Information about the affected component - Object reference: [Insert product or component reference, e.g., "Model XYZ-2023", "Firmware v1.2.3"] - Type of box/Object: [Specify the model of the box or the environment concerned, e.g., "Connect Box", "VLINK Bulb"] - Software/firmware version: [Indicate the exact version, e.g., "Firmware 2.0.1", "Mobile app v2.5.1"] 2. Description of the vulnerability - Type of flaw: [For example: "SQL Injection", "Buffer Overflow", "Weak Authentication"] - Detailed description: [Precisely describe the vulnerability, its mechanism, and the conditions required to exploit it] - Proof of concept (PoC): [If possible, provide steps to reproduce the flaw or an example of code] 3. Potential impact - Possible consequences: [For example: "Unauthorized access to user data", "Remote code execution", "Denial of service"] 4. Contact information (optional but recommended) - Name or Pseudonym: [For our thanks] - Contact: [Your email] 5. Additional information - Date of discovery: [DD/MM/YYYY] - Other relevant details: [For example: "The flaw has been tested on several similar devices"]
📬 Odpowiedź i działania następcze
Po otrzymaniu zgłoszenia postępujemy w następujący sposób:
Potwierdzenie odbioru Twojej wiadomości e-mail w zależności od krytyczności (patrz tabela).
Ocena luki zgodnie z powyższymi kryteriami.
Nawiązanie kontaktu w celu uzyskania dodatkowych informacji w razie potrzeby.
Naprawa z priorytetem w zależności od poziomu krytyczności.
Powiadomienie, gdy tylko luka zostanie naprawiona (w miarę możliwości).
🙏 Dziękujemy za Twoją czujność
Twój wkład w bezpieczeństwo naszej platformy jest cenny. Dziękujemy wszystkim osobom, które pomagają nam utrzymać wysoki poziom bezpieczeństwa dla wszystkich naszych użytkowników.