Roborocks policy för rapportering av sårbarheter

Roborocks policy för rapportering av sårbarheter

Nov 2023 

Roborock är en ledande tillverkare av IoT-dammsugare. Vi bryr oss om vår data och våra informationssystem. 

Denna policy för sårbarhetsrapportering gäller rapportering av sårbarheter och kommunikation relaterad till Roborock-appen, dammsugare och vår IoT-server. 

Baserat på beslut från berörda ledningsavdelningar och företagsledare samt företagets faktiska behov av säkerhetshantering, samlas sårbarheter in och kommuniceras via e-post enligt följande. 

Policyn för sårbarhetsrapportering omfattar alla sårbarheter du kan tänka dig att rapportera till oss (Organisationen). Vi rekommenderar att du läser hela policyn om sårbarhetsrapportering innan du rapporterar en sårbarhet och att du alltid handlar enligt policyn. 

Vi uppskattar de som tar sig tid att rapportera sårbarheter enligt policyn. Vi erbjuder dock ingen kompensation till de som rapporterar sårbarheter. 

Om du tror att du har hittat en sårbarhet ber vi dig rapportera detta till oss via följande länk/e-postadress: 

security@roborock.com

Ta med följande i din rapport: 

Information om sårbarheten: 

* Tillgång (webbadress, IP, namn på produkt eller tjänst) där du har identifierat en sårbarhet 

* Svaghet(t.ex. CWE) (valfri) 

* Allvarlighetsgrad (t.ex. CVSS v3.0) (valfri)

* Sårbarhetens titel (obligatorisk) 

* Beskrivning av sårbarheten (den borde omfatta en sammanfattning, underlagsfiler och möjliga lösningar eller rekommendationer) (obligatorisk) 

* Påverkan (vad kan en attack innebära?) (obligatorisk) 

* Steg för att återskapa. Dessa bör vara ett ofarligt, icke-destruktivt bevis på konceptet. Detta hjälper oss att säkerställa att rapporten kan hanteras snabbt och effektivt. Det minskar också risken för dubbla rapporteringar eller utnyttjande av vissa sårbarheter i ond tro, som övertagande av subdomäner. Valfria kontaktuppgifter: 

* Namn 

* E-postadress 

Vi kommer att återkoppla till dig inom 10 arbetsdagar från det att vi har mottagit din rapport och försöka hantera din rapport inom 30 arbetsdagar. Vi kommer också att hålla dig informerad om våra framsteg.

Åtgärder kommer att prioriteras efter påverkan, allvarlighetsgrad och sårbarhetens komplexitet. 

Sårbarhetsrapporter kan ta tid att behandla. Du får gärna fråga oss 

om ärendets status, men undvik att fråga oftare än var 30e dag. Detta ger vårt team tid att fokusera på lösningar. 

Vi kommer att meddela dig när sårbarheten har åtgärdats och du kan bli inbjudet att bekräfta att lösningen har åtgärdat sårbarheten. 

När sårbarheten väl har lösts får du gärna fråga oss om du kan dela din rapport. Vi vill ge vägledning till användare som påverkats, så håll kontakten med oss innan du publicerar något offentligt. 

Du får INTE:

* Bryta mot gällande lagar och regler. 

* Komma åt onödiga, överflödiga eller stora mängder data. 

* Genomföra ändringar i organisationens system eller tjänster. 

* Använda högintensiva och invasiva eller destruktiva scanningsverktyg för att hitta sårbarheter. 

* Försöka eller rapportera någon form av överbelastningsattack, t.ex. att överbelasta en tjänst med ett stort antal förfrågningar. 

* Störa organisationens tjänster eller system.