Declarație de vulnerabilitate afectând Enki Home

🔐 Raportarea unei vulnerabilități de securitate

La Enki Home, securitatea utilizatorilor noștri și a datelor acestora este o prioritate absolută. Dacă ați identificat o vulnerabilitate sau o breșă de securitate în aplicația noastră mobilă sau în sistemele noastre, vă invităm să ne informați în următorul mod:


🛡️  Politică de divulgare a vulnerabilităților 

1. Domeniul de aplicare al politicii noastre

Această politică se aplică oricărei vulnerabilități pe care ați putea-o descoperi în sistemele sau produsele noastre.

🔍 Active vizate:

  • Gama noastră de produse IoT conectate (prize, becuri, camere etc.)

  • Aplicațiile noastre mobile oficiale (iOS și Android)

  • Platforma noastră cloud și API-urile asociate, accesibile public

🚫 Vulnerabilități excluse din domeniul de aplicare:
Pentru a ne concentra eforturile asupra celor mai critice amenințări, nu acceptăm rapoarte privind:

  • Atacurile de tip refuz de serviciu (DoS/DDoS)

  • Rezultatele scanărilor automate fără dovezi concrete de exploatabilitate

2. Reguli de angajament și „Safe Harbor” (Clauză de neagresiune)

Ne angajăm să nu inițiem acțiuni în justiție împotriva oricărei persoane care raportează cu bună-credință o vulnerabilitate, cu condiția respectării următoarelor reguli:

  • Acționați cu scopul de a îmbunătăți securitatea, fără intenția de a aduce prejudicii companiei noastre sau utilizatorilor noștri

  • Nu consultați, modificați sau ștergeți nicio dată care nu vă aparține

  • Ne acordați un termen rezonabil pentru a remedia vulnerabilitatea înainte de orice divulgare publică (principiul divulgării coordonate)

  • Nu efectuați nicio acțiune susceptibilă de a degrada performanța serviciilor noastre (de ex.: atacuri DoS)


📧 Cum să raportați o vulnerabilitate

Angajamentul nostru privind gestionarea vulnerabilităților

Enki se angajează să gestioneze vulnerabilitățile care îi sunt raportate într-un mod transparent și diligent. Am definit patru niveluri de criticitate bazate pe sistemul de notare CVSS (Common Vulnerability Scoring System) sau o evaluare internă echivalentă.

Nivel de criticitate Descriere (Exemple) Confirmare de primire și primă evaluare Obiectiv de remediere
Critic Permite preluarea controlului de la distanță a produsului, o scurgere masivă de date cu caracter personal. 2 zile lucrătoare 15 zile
Ridicat Permite ocolirea mecanismelor importante de securitate, accesarea datelor sensibile. 3 zile lucrătoare 30 de zile
Mediu Permite o degradare a serviciului, o scurgere limitată de date non-sensibile. 5 zile lucrătoare 90 de zile
Scăzut Vulnerabilități de securitate cu un impact minor sau greu de exploatat. 10 zile lucrătoare Următoarea actualizare majoră

Vă rugăm să trimiteți un e-mail la următoarea adresă:
📬 security@enki-home.com

În mesajul dumneavoastră, vă rugăm să includeți cât mai multe informații posibil pentru a ne permite să înțelegem și să reproducem problema. Datele dumneavoastră de contact vor fi prelucrate în conformitate cu GDPR. Vă mulțumim că utilizați șablonul de mai jos pentru a vă structura raportul.

Hello,

I would like to report a security vulnerability concerning one of your products. Here are the necessary details to identify and reproduce the issue:

1. Information about the affected component
- Object reference: [Insert product or component reference, e.g., "Model XYZ-2023", "Firmware v1.2.3"]
- Type of box/Object: [Specify the model of the box or the environment concerned, e.g., "Connect Box", "VLINK Bulb"]
- Software/firmware version: [Indicate the exact version, e.g., "Firmware 2.0.1", "Mobile app v2.5.1"]

2. Description of the vulnerability
- Type of flaw: [For example: "SQL Injection", "Buffer Overflow", "Weak Authentication"]
- Detailed description: [Precisely describe the vulnerability, its mechanism, and the conditions required to exploit it]
- Proof of concept (PoC): [If possible, provide steps to reproduce the flaw or an example of code]

3. Potential impact
- Possible consequences: [For example: "Unauthorized access to user data", "Remote code execution", "Denial of service"]

4. Contact information (optional but recommended)
- Name or Pseudonym: [For our thanks]
- Contact: [Your email]

5. Additional information
- Date of discovery: [DD/MM/YYYY]
- Other relevant details: [For example: "The flaw has been tested on several similar devices"]

📬 Răspuns și urmărire

După primirea raportului dumneavoastră, iată cum procedăm:

  1. Confirmarea de primire a e-mailului dumneavoastră în funcție de criticitate (a se vedea tabelul).

  2. Evaluarea vulnerabilității conform criteriilor de mai sus.

  3. Luarea legăturii pentru a solicita clarificări, dacă este necesar.

  4. Remediere prioritizată în funcție de nivelul de criticitate.

  5. Notificare de îndată ce vulnerabilitatea este remediată (în măsura posibilului).


🙏 Vă mulțumim pentru vigilența dumneavoastră

Contribuția dumneavoastră la securitatea platformei noastre este prețioasă. Mulțumim tuturor persoanelor care ne ajută să menținem un nivel ridicat de securitate pentru toți utilizatorii noștri.


Articole conexe

Trimitere solicitare