Declaração de vulnerabilidade afetando Enki Home

🔐 Declaração de uma falha de segurança

Na Enki Home, a segurança dos nossos utilizadores e dos seus dados é uma prioridade absoluta. Se identificou uma vulnerabilidade ou uma falha de segurança na nossa aplicação móvel ou nos nossos sistemas, convidamo-lo a informar-nos da seguinte forma:


🛡️  Política de divulgação de vulnerabilidades 

1. Âmbito da nossa política

Esta política aplica-se a qualquer vulnerabilidade que possa descobrir nos nossos sistemas ou produtos.

🔍 Ativos abrangidos:

  • A nossa gama de produtos IoT ligados (tomadas, lâmpadas, câmaras, etc.)

  • As nossas aplicações móveis oficiais (iOS e Android)

  • A nossa plataforma na nuvem e as APIs associadas publicamente acessíveis

🚫 Vulnerabilidades excluídas do âmbito:
Para concentrar os nossos esforços nas ameaças mais críticas, não aceitamos relatórios sobre:

  • Ataques de negação de serviço (DoS/DDoS)

  • Resultados de verificações automatizadas sem prova de exploração concreta

2. Regras de envolvimento e "Safe Harbor" (Cláusula de não agressão)

Comprometemo-nos a não intentar ações judiciais contra qualquer pessoa que comunique uma vulnerabilidade de boa-fé, desde que as seguintes regras sejam respeitadas:

  • Age com o objetivo de melhorar a segurança, sem intenção de prejudicar a nossa empresa ou os nossos utilizadores

  • Não consulta, modifica ou elimina quaisquer dados que não lhe pertençam

  • Concede-nos um prazo razoável para corrigir a falha antes de qualquer divulgação pública (princípio da divulgação coordenada)

  • Não realiza nenhuma ação que possa degradar o desempenho dos nossos serviços (ex.: ataques DoS)


📧 Como comunicar uma falha

O nosso compromisso com o tratamento de vulnerabilidades

A Enki compromete-se a tratar as vulnerabilidades que lhe são comunicadas de forma transparente e diligente. Definimos quatro níveis de criticidade com base no sistema de pontuação CVSS (Common Vulnerability Scoring System) ou numa avaliação interna equivalente.

Nível de Criticidade Descrição (Exemplos) Confirmação de receção e primeira avaliação Objetivo de correção
Crítico Permite o controlo remoto do produto, uma fuga massiva de dados pessoais. 2 dias úteis 15 dias
Elevado Permite contornar mecanismos de segurança importantes, aceder a dados sensíveis. 3 dias úteis 30 dias
Médio Permite uma degradação do serviço, uma fuga limitada de dados não sensíveis. 5 dias úteis 90 dias
Baixo Falhas de segurança com um impacto menor ou difíceis de explorar. 10 dias úteis Próxima atualização principal

Por favor, envie um e-mail para o seguinte endereço:
📬 security@enki-home.com

Na sua mensagem, inclua o máximo de informações possível para nos permitir compreender e reproduzir o problema. Os seus dados de contacto serão tratados em conformidade com o RGPD. Agradecemos que utilize o modelo abaixo para estruturar a sua comunicação.

Hello,

I would like to report a security vulnerability concerning one of your products. Here are the necessary details to identify and reproduce the issue:

1. Information about the affected component
- Object reference: [Insert product or component reference, e.g., "Model XYZ-2023", "Firmware v1.2.3"]
- Type of box/Object: [Specify the model of the box or the environment concerned, e.g., "Connect Box", "VLINK Bulb"]
- Software/firmware version: [Indicate the exact version, e.g., "Firmware 2.0.1", "Mobile app v2.5.1"]

2. Description of the vulnerability
- Type of flaw: [For example: "SQL Injection", "Buffer Overflow", "Weak Authentication"]
- Detailed description: [Precisely describe the vulnerability, its mechanism, and the conditions required to exploit it]
- Proof of concept (PoC): [If possible, provide steps to reproduce the flaw or an example of code]

3. Potential impact
- Possible consequences: [For example: "Unauthorized access to user data", "Remote code execution", "Denial of service"]

4. Contact information (optional but recommended)
- Name or Pseudonym: [For our thanks]
- Contact: [Your email]

5. Additional information
- Date of discovery: [DD/MM/YYYY]
- Other relevant details: [For example: "The flaw has been tested on several similar devices"]

📬 Resposta e seguimento

Após a receção da sua comunicação, procedemos da seguinte forma:

  1. Confirmação de receção do seu e-mail dependendo da criticidade (ver tabela).

  2. Avaliação da falha de acordo com os critérios acima.

  3. Contacto para solicitar esclarecimentos, se necessário.

  4. Correção priorizada de acordo com o nível de criticidade.

  5. Notificação assim que a falha for resolvida (na medida do possível).


🙏 Obrigado pela sua vigilância

A sua contribuição para a segurança da nossa plataforma é valiosa. Agradecemos a todas as pessoas que nos ajudam a manter um elevado nível de segurança para todos os nossos utilizadores.


Artigos relacionados

Submeter um pedido