Politique de divulgation des vulnérabilités

SharkNinja et ses sociétés affiliées (« SharkNinja ») s’engagent à protéger la confidentialité des informations personnelles des consommateurs et des employés et la disponibilité de ses sites Web et de ses systèmes d’information. Cette politique vise à donner aux chercheurs en sécurité des directives claires pour mener des activités de découverte de vulnérabilités et à communiquer nos préférences quant à la manière de nous soumettre les vulnérabilités découvertes pour examen. Nous vous encourageons à nous contacter pour signaler les vulnérabilités de nos sites Web, systèmes et produits.

Si vous vous efforcez de bonne foi de respecter cette politique pendant votre recherche de sécurité, nous considérerons que votre recherche est autorisée; nous travaillerons avec vous pour comprendre et résoudre rapidement les problèmes signalés. SharkNinja ne recommandera pas ou ne poursuivra pas d’action légale liée à votre recherche.

Veuillez noter que SharkNinja ne gère pas de programme de primes pour les bogues et ne propose aucune récompense ou compensation en échange de la soumission de problèmes de sécurité ou de vulnérabilités potentielles.

Lignes directrices

SharkNinja suggère les directives suivantes aux chercheurs qui pourraient signaler une vulnérabilité ou mener des recherches légitimes. Dans le cadre de cette politique, le terme « recherche » désigne les activités dans lesquelles vous :

  • nous informez le plus rapidement possible après avoir découvert un problème de sécurité réel ou potentiel;
  • mettez tout en œuvre pour éviter les violations de la vie privée, la dégradation de l’expérience utilisateur, la perturbation des systèmes de production et la destruction ou la manipulation des données;
  • ne recourez aux exploits que dans la mesure nécessaire pour confirmer la présence d’une vulnérabilité;
  • n’utilisez pas un exploit pour compromettre ou exfiltrer des données, établir un accès persistant non autorisé ou utiliser l’exploit pour pivoter vers d’autres systèmes;
  • nous accordez un délai raisonnable pour résoudre le problème avant de le divulguer publiquement.

Une fois que vous avez établi l’existence d’une vulnérabilité ou que vous rencontrez des données sensibles (y compris des informations personnelles identifiables, des informations financières ou des informations exclusives ou des secrets commerciaux de toute partie), vous devez arrêter votre test, nous en informer immédiatement et ne pas divulguer ces données à qui que ce soit.

Signaler une vulnérabilité

Veuillez envoyer un courriel à l’adresse privacy@sharkninja.com pour signaler une vulnérabilité. Pour nous aider à trier et à prioriser les soumissions, nous vous recommandons de préciser ce qui suit dans votre rapport :

  • Quand la vulnérabilité ou le problème a été repéré
  • Décrire le système ou le produit pour lequel la vulnérabilité a été découverte
  • Décrire les étapes nécessaires à la reproduction de la vulnérabilité
  • Toute suggestion de remédiation ou idée pour corriger la vulnérabilité

SharkNinja s’engage à accuser réception de toutes les soumissions dans les trois jours ouvrables et apprécie la participation à ce programme.

Portée

Le champ d’application de ce programme comprend tous les sites Web SharkNinja détenus ou sous licence par l’entreprise, tous les systèmes commerciaux orientés vers Internet, ainsi que les produits connectés à Internet et les applications mobiles connexes. Le programme ne comprend pas ce qui suit :

  • Piratage psychologique ou campagnes de hameçonnage effectués auprès des employés de SharkNinja
  • Attaques par déni de service contre les sites Web ou les applications commerciales de SharkNinja
  • Toute autre activité non autorisée à des fins malveillantes

Veuillez contacter SharkNinja à l’adresse privacy@sharkninja.com pour toute question sur ce programme ou pour signaler une vulnérabilité.