SharkNinja et ses sociétés affiliées (« SharkNinja ») s'engagent à protéger la confidentialité des informations personnelles des consommateurs et des employés, ainsi que la disponibilité de ses sites Web et de ses systèmes d'information. La présente politique a pour but de fournir aux chercheurs en sécurité des directives claires pour mener leurs activités de détection de vulnérabilités et de vous faire part de nos préférences quant à la manière de nous signaler les vulnérabilités découvertes afin que nous puissions les examiner. Nous vous encourageons à nous contacter pour signaler toute vulnérabilité sur nos sites Web, nos systèmes et nos produits.
Si vous faites un effort de bonne foi pour vous conformer à cette politique au cours de vos recherches en matière de sécurité, nous considérerons vos recherches comme autorisées et nous travaillerons avec vous pour comprendre et résoudre rapidement les problèmes signalés. SharkNinja ne recommandera ni n'engagera de poursuites judiciaires liées à vos recherches.
Veuillez noter que SharkNinja ne gère pas de programme de prime aux bogues et n'offre aucune récompense ni compensation en échange de la soumission de problèmes de sécurité potentiels ou de vulnérabilités.
Directives
SharkNinja propose les directives suivantes aux chercheurs susceptibles de signaler une vulnérabilité ou de mener des recherches légitimes. Dans le cadre de cette politique, le terme « recherche » désigne les activités dans lesquelles vous :
Nous informez dès que possible après avoir découvert un problème de sécurité réel ou potentiel
Faites tout votre possible pour éviter les violations de la vie privée, la dégradation de l'expérience utilisateur, la perturbation des systèmes de production et la destruction ou la manipulation des données
N'utilisez les exploits que dans la mesure nécessaire pour confirmer la présence d'une vulnérabilité
N'utilisez pas d'exploit pour compromettre ou exfiltrer des données, établir un accès non autorisé persistant ou utiliser l'exploit pour pivoter vers d'autres systèmes
Nous accordez un délai raisonnable pour résoudre le problème avant de le divulguer publiquement
Une fois que vous avez établi l'existence d'une vulnérabilité ou que vous avez rencontré des données sensibles (y compris des informations personnelles identifiables, des informations financières, des informations exclusives ou des secrets commerciaux de toute partie), vous devez interrompre votre test, nous en informer immédiatement et ne divulguer ces données à personne d'autre.
Signaler une vulnérabilité
Veuillez envoyer un e-mail à [email protected] pour signaler une vulnérabilité. Afin de nous aider à trier et à hiérarchiser les signalements, nous vous recommandons d'inclure les éléments suivants dans votre rapport :
Quand la vulnérabilité ou le problème a été identifié
Une description du système ou du produit pour lequel la vulnérabilité a été découverte
Une description des étapes nécessaires pour reproduire la vulnérabilité
Toute suggestion ou idée de correction pour remédier à la vulnérabilité
SharkNinja s'engage à accuser réception de toutes les soumissions dans un délai de 3 jours ouvrables et vous remercie de votre participation à ce programme.
Pour les divulgations de vulnérabilités liées à des produits connectés (ou « IoT »), SharkNinja fournira des mises à jour régulières jusqu'à ce que la vulnérabilité signalée soit résolue.
Portée
Le champ d'application de ce programme inclut tous les sites web SharkNinja détenus ou sous licence par la société ; tous les systèmes d'entreprise connectés à Internet ; ainsi que les produits connectés à Internet et les applications mobiles associées. Le programme n'inclut pas :
Les campagnes d'ingénierie sociale ou de phishing visant les employés de SharkNinja
Les attaques par déni de service (DoS) contre les sites Web ou les applications métier de SharkNinja
Toute autre activité non autorisée à caractère malveillant
Veuillez contacter SharkNinja à l'adresse [email protected] pour toute question concernant ce programme ou pour signaler une vulnérabilité.