Roborock 취약성 공개 정책

2023년 11월

Roborock은 앞서가는 IoT 진공청소기 제조사입니다. 당사는 데이터와 정보 시스템을 신중하게 관리합니다.

본 취약성 공개 정책은 Roborock 앱과 진공청소기, IoT 서버에 관련된 취약성 공개 및 커뮤니케이션에 적용됩니다.

관련 관리 부서와 회사 경영진의 결정, 그리고 회사 보안 관리상 실질적 필요성을 근거로 취약점을 수집하고 아래와 같이 이메일로 통보합니다.

본 취약성 공개 정책은 귀하가 당사("조직")에 신고를 고려하는 모든 취약점에 적용됩니다. 취약점을 신고하시기 전에 본 취약성 공개 정책 전문을 읽어보고 항상 이를 준수하여 행동하시기 바랍니다.

본인의 시간과 노력을 들여 본 정책에 따라 보안 취약점을 신고해 주시는 분은 저희에게 소중한 분들입니다. 그러나 취약성 공개를 대가로 금전 보상을 제공하지는 않습니다.

보안 취약점을 찾았다고 생각되시는 분은 아래 링크/이메일을 이용해 신고서를 제출해 주십시오.

security@roborock.com

신고서에 포함할 내용:

취약점 세부 정보:

* 취약점이 관찰된 자산(웹 주소, IP, 제품명 또는 서비스명)

* 약점(예: CWE)(선택 사항)

* 심각성(예: CVSS v3.0)(선택 사항)

* 취약점의 이름(필수)

* 취약점의 설명(요약, 증빙 파일, 가능한 완화책 또는 권장 사항을 포함할 것)(필수)

* 파급력(공격자가 무슨 짓을 할 수 있는가?) (필수)

* 재현 단계. 선한 의도의 비파괴적인 개념 증명이어야 함. 이것은 신고를 신속하고 정확하게 분류하는 데 도움이 됨. 또한 중복 신고의 가능성을 낮추고 하위 도메인 탈취와 같은 일부 취약점의 악의적인 이용 가능성을 줄임. 연락처 정보(선택 사항):

* 이름

* 이메일 주소

신고해 주시면 영업일 기준 10일 이내에 답변해 드리겠습니다. 신고는 영업일 기준 30일 이내에 분류하는 것이 목표입니다. 또한 신고자에게 진행 상황을 알려드리려 합니다.

파급력과 심각성, 이용 복잡성에 따라 대처 우선순위를 정합니다.

취약점 신고를 분류하거나 해결하는 데 상당한 시간이 걸릴 수도 있습니다. 신고자는 언제든 진행 상황을 문의하셔도 좋으나

30일에 1번 이상은 피해 주십시오. 그래야 당사 직원들이 해결에 집중할 수 있습니다.

신고하신 취약점이 교정되면 신고자에게 알려드립니다. 신고자를 초대하여 당사의 해결책이 취약점을 적절히 해결했는지 확인할 수도 있습니다.

취약점 문제가 해결된 후에는 신고서를 공개하라는 신고자의 요청을 환영합니다. 영향받는 사용자를 대상으로 한 지침과 통합하려 하오니 당사와 함께 계속해서 공개 릴리스를 조정해 주십시오.

다음 행동은 금지됩니다.

* 준거법 또는 규정을 어김

* 불필요하거나 과도하거나 상당한 양의 데이터에 액세스

* 조직의 시스템 또는 서비스에 있는 데이터를 수정

* 취약점을 찾기 위해 고강도의 침해성 또는 파괴적 스캐닝 도구 사용

* 어떤 방식으로든 서비스 거부를 시도 또는 신고(예: 대량의 요구로 서비스 압도하기)

* 조직의 서비스 또는 시스템을 중단시킴