SharkNinja och dess dotterbolag (”SharkNinja”) är fast beslutna att skydda sekretessen för konsumenters och anställdas personuppgifter, tillgängligheten till sina webbplatser och informationssystem samt säkerheten för våra internetanslutna enheter. Vi bygger in säkerhet i våra plattformar och uppkopplade produkter och följer gällande säkerhetskrav för IoT. Denna policy är avsedd att ge säkerhetsforskare tydliga riktlinjer för att bedriva verksamhet för att upptäcka sårbarheter och att förmedla våra önskemål om hur upptäckta sårbarheter ska skickas in till oss för granskning. Vi uppmuntrar dig att kontakta oss för att rapportera sårbarheter i våra webbplatser, system och produkter
Om du i god tro försöker följa denna policy under din säkerhetsforskning kommer vi att betrakta din forskning som godkänd endast i den utsträckning den uppfyller alla villkor i denna policy och faller inom det definierade tillämpningsområdet nedan, och vi kommer att samarbeta med dig för att snabbt förstå och lösa rapporterade problem. SharkNinja kommer inte att rekommendera eller vidta rättsliga åtgärder i samband med din forskning, förutsatt att du inte har överskridit omfattningen av denna policy, agerat i ond tro eller brutit mot någon tillämplig lag
Observera att SharkNinja inte driver något bug bounty-program och inte erbjuder någon belöning eller ersättning i utbyte mot att du rapporterar potentiella säkerhetsproblem eller sårbarheter.
Riktlinjer
SharkNinja föreslår följande riktlinjer för forskare som kan rapportera en sårbarhet eller bedriva legitim forskning. I denna policy avses med “forskning” aktiviteter där du:
- Meddela oss så snart som möjligt efter att du upptäckt ett verkligt eller potentiellt säkerhetsproblem
- Gör allt du kan för att undvika kränkningar av integriteten, försämring av användarupplevelsen, störningar i produktionssystemen samt förstörelse eller manipulation av data
- Använd endast exploateringar i den utsträckning som är nödvändig för att bekräfta förekomsten av en sårbarhet
- Använd inte en exploatering för att kompromettera eller stjäla data, etablera bestående obehörig åtkomst eller använda exploateringen för att ta dig vidare till andra system
- Ger oss rimlig tid att lösa problemet innan du offentliggör det
När du har fastställt att en sårbarhet föreligger eller stöter på känslig data (inklusive personligt identifierbar information, finansiell information eller proprietär information eller affärshemligheter från någon part) måste du avbryta ditt test, meddela oss omedelbart och inte avslöja denna data för någon annan. Du måste permanent radera eller förstöra alla sådana känsliga data som du har i din besittning så snart som möjligt efter att du har meddelat SharkNinja, och intyga sådan förstörelse på begäran. Du samtycker till att hålla alla detaljer om upptäckta sårbarheter konfidentiella tills SharkNinja har bekräftat att sårbarheten har åtgärdats eller skriftligen har godkänt offentliggörande
Rapportera en sårbarhet
Vänligen skicka ett e-postmeddelande till [email protected] för att rapportera en sårbarhet. För att hjälpa oss att sortera och prioritera inlämningar rekommenderar vi att din rapport innehåller:
- När sårbarheten eller problemet identifierades
- Beskriv det system eller den produkt där sårbarheten upptäcktes
- Beskriv de steg som krävs för att återskapa sårbarheten
- Eventuella förslag eller idéer på hur sårbarheten kan åtgärdas
SharkNinja åtar sig att bekräfta mottagandet av alla inlämningar inom tre arbetsdagar och uppskattar deltagandet i detta program.
För rapporter om sårbarheter relaterade till uppkopplade (eller ”IoT”) produkter kommer SharkNinja att tillhandahålla regelbundna uppdateringar tills den rapporterade sårbarheten har åtgärdats.
Omfattning
Omfattningen av detta program inkluderar alla SharkNinja-webbplatser som ägs eller licensieras av företaget; alla affärssystem som är anslutna till internet; samt internetanslutna produkter och tillhörande mobilappar. Programmet omfattar inte:
- Social engineering eller phishing-kampanjer riktade mot SharkNinjas anställda
- Denial of Service (DoS)-attacker mot SharkNinjas webbplatser eller affärsapplikationer
- Alla andra obehöriga aktiviteter med skadligt syfte
Vänligen kontakta SharkNinja på [email protected] om du har frågor om detta program eller vill rapportera en sårbarhet.