Roborock Richtlinie zur Offenlegung von Sicherheitslücken
Roborock Richtlinie zur Offenlegung von Sicherheitslücken
Nov 2023
Roborock ist ein führender Hersteller von IoT-Staubsaugern. Unser Daten- und Informationssystem ist uns wichtig.
Diese Richtlinie zur Offenlegung von Sicherheitslücken gilt für die Offenlegung und Mitteilung von Sicherheitslücken bezüglich der Roborock APP, Staubsaugern und unseres IoT-Servers.
Basierend auf der Entscheidung der relevanten Abteilungen der Unternehmensführung, der Führungskräfte des Unternehmens und der tatsächlichen Bedürfnisse des Sicherheitsmanagements des Unternehmens werden Sicherheitslücken wie folgt gesammelt und per E-Mail mitgeteilt.
Diese Richtlinie zur Offenlegung von Sicherheitslücken gilt für jegliche Sicherheitslücken, deren Mitteilung an uns Sie in Betracht ziehen (die „Organisation“). Wir empfehlen, dass Sie diese Richtlinie zur Offenlegung von Sicherheitslücken vollständig lesen, bevor Sie eine Sicherheitslücke mitteilen, und immer im Übereinstimmung mit dieser Richtlinie handeln.
Wir wissen es zu schätzen, wenn unsere Benutzer Zeit und Mühe aufwenden, um Sicherheitslücken laut dieser Richtlinie mitzuteilen. Allerdings bieten wir keine finanziellen Belohnungen für die Offenlegung von Sicherheitslücken an.
Wenn Sie glauben, eine Sicherheitslücke gefunden zu haben, reichen Sie bitte Ihren Bericht bei uns mithilfe des folgenden Links bzw. der folgenden E-Mail ein:
security@roborock.com
Bitte fügen Sie folgende Informationen in Ihren Bericht ein:
Details zur Sicherheitslücke:
* Objekt (Web-Adresse, IP, Name von Produkt oder Service), bei dem die Sicherheitslücke beobachtet werden kann
* Schwäche (z. B. CWE) (optional)
* Schweregrad (z. B. CVSS v3.0) (optional)
* Titel der Sicherheitslücke (obligatorisch)
* Beschreibung der Sicherheitslücke (dies sollte eine Zusammenfassung, unterstützende Dateien und mögliche Eindämmungsmaßnahmen oder Empfehlungen beinhalten) (obligatorisch)
* Auswirkung (was könnte ein Angreifer tun?) (obligatorisch)
* Zu reproduzierende Schritte. Dabei sollte es sich um einen unschädlichen, nicht destruktiven Machbarkeitsnachweis handeln. Dies trägt dazu bei, dass der Bericht schnell und präzise gesichtet werden kann. Zudem wird die Wahrscheinlichkeit von doppelten Berichten oder einer böswilligen Ausnutzung einiger Sicherheitslücken wie der Übernahme von Subdomains verringert. Optionale Kontaktdetails:
* Name
* E-Mail-Adresse
Nachdem Sie Ihren Bericht eingereicht haben, reagieren wir auf Ihren Bericht innerhalb von 10 Arbeitstagen und bemühen uns, Ihren Bericht innerhalb von 30 Arbeitstagen zu sichten. Wir bemühen uns auch, Sie über unsere Fortschritte auf dem Laufenden zu halten.
Die Priorität für die Behebung wird durch die Betrachtung von Auswirkung, Schweregrad und Komplexität des Exploits geprüft.
Die Sichtung oder Berücksichtigung von Berichten zu Sicherheitslücken kann eine gewisse Zeit in Anspruch nehmen. Sie können sich gern nach dem Status erkunden, aber
wir möchten Sie bitten, nicht öfter als einmal alle 30 Tage nachzufragen. Dadurch können sich unsere Teams auf die Behebung konzentrieren.
Wir werden Sie benachrichtigen, wenn die mitgeteilte Sicherheitslücke behoben wurde. Möglicherweise werden Sie um Bestätigung gebeten, dass die Lösung die Sicherheitslücke auf angemessene Weise schließt.
Sobald Ihre Sicherheitslücke gelöst wurde, würden wir uns freuen, Anfragen zur Offenlegung Ihres Berichts zu erhalten. Wir möchten den betroffenen Benutzern eine vereinheitlichte Vorgehensweise bereitstellen und Sie daher bitten, die öffentliche Freigabe mit uns abzustimmen.
Sie dürfen NICHT:
* Gegen jegliche anwendbaren Gesetze oder Vorschriften verstoßen.
* Auf unnötige, übermäßige oder erhebliche Datenmengen zugreifen.
* Daten in den Systemen oder Diensten der Organisation ändern.
* Invasive oder destruktive Scanning-Tools mit hoher Intensität zum Finden von Sicherheitslücken verwenden.
* Denial-of-Service-Angriffe versuchen oder mitteilen, also das Überlasten eines Dienstes durch ein hohes Anfragevolumen.
* Die Dienste oder Services der Organisation zum Erliegen bringen.