Política de divulgación de vulnerabilidades de Roborock
Política de divulgación de vulnerabilidades de Roborock
Política de divulgación de vulnerabilidades de Roborock
Noviembre de 2023
Roborock es fabricante líder de robots aspiradores con tecnología IoT. Nos importan los datos y el sistema de información.
La presente política se aplica a la divulgación y comunicación de vulnerabilidades relativas a la aplicación, los aspiradores y el servidor IoT de Roborock.
Atendiendo a la decisión de los departamentos administrativos y los responsables de la empresa, junto con las necesidades actuales de gestión de seguridad de esta, las vulnerabilidades se registran y se comunican por correo electrónico de la forma descrita a continuación.
Esta política de divulgación de vulnerabilidades se aplica a toda vulnerabilidad que pudiera disponerse a comunicarnos (a la “Organización”). Recomendamos leer la política en su totalidad antes de informar de una vulnerabilidad, así como actuar siempre de acuerdo con lo que en ella se estipula.
Si bien apreciamos el tiempo y el esfuerzo dedicados a transmitir vulnerabilidades de seguridad de conformidad con la presente política, no se ofrecerán compensaciones económicas por dichas comunicaciones.
Ante la sospecha de haber identificado una vulnerabilidad de seguridad, rogamos que se nos envíe un informe a través del siguiente enlace/correo electrónico:
security@roborock.com
El informe debe incluir los datos a continuación:
Información de la vulnerabilidad:
* Lugar (dirección web, IP, nombre del producto o del servicio) en el que se observa la vulnerabilidad.
* Grado de vulnerabilidad (p. ej. CWE) (opcional).
* Gravedad (p ej., CVSS v3.0) (opcional).
* Tipo de vulnerabilidad (obligatorio).
* Descripción de la vulnerabilidad (que, a su vez, debe incluir un resumen, archivos complementarios y posibles medidas de mitigación o recomendaciones) (obligatorio).
* Efecto (¿qué podría hacer un atacante?) (obligatorio).
* Pasos que deben reproducirse. Deben consistir en una prueba de concepto inocua, no destructiva. Esto contribuirá a garantizar que el informe pueda someterse a triaje de forma rápida y precisa. Además, reduce las probabilidades de que haya informes duplicados o un uso malicioso de alguna vulnerabilidad, como una toma de control de subdominio. Información de contacto opcional:
* Nombre
* Dirección de correo electrónico
Responderemos al informe en un plazo de 10 días hábiles, y trataremos de analizarlo en un plazo de 30 días hábiles. Además, procuraremos mantener informados a los usuarios de los avances realizados.
Las prioridades para la rectificación se evaluarán teniendo en cuenta la repercusión, la gravedad y la complejidad de la vulnerabilidad.
Analizar o abordar los informes de vulnerabilidades puede requerir algún tiempo. Animamos a los usuarios a consultar su
estado con una frecuencia no superior a una vez cada 30 días. De este modo, nuestros equipos podrán concentrarse en las medidas correctivas.
Cuando la vulnerabilidad notificada se corrija, se les informará, y es posible que se les solicite que confirmen si la solución resuelve adecuadamente el problema.
Tras haber solucionado la vulnerabilidad, se aceptarán solicitudes para divulgar el informe. Nos gustaría unificar las indicaciones a los usuarios afectados, por lo que recomendamos encarecidamente a los usuarios que se mantengan coordinados con nosotros para la difusión pública.
NO deben:
* Infringir ninguna ley o normativa.
* Acceder a un volumen de datos innecesario, excesivo o considerable.
* Modificar datos de los sistemas o servicios de la Organización.
* Utilizar herramientas de escaneo de vulnerabilidades de alta intensidad que sean invasivas o destructivas.
* Denunciar o pretender llevar a cabo cualquier forma de denegación de servicio; p. ej., con un gran volumen de solicitudes.
* Alterar la actividad de los servicios o sistemas de la Organización.