Signalez des vulnérabilités à Aura

Si vous pensez avoir repéré une faille de sécurité dans les produits d’Aura Home, Inc (dénommé Aura), vous pouvez renseigner le formulaire et signaler le problème directement à l’adresse security@auraframes.com. En règle générale, vous recevrez une invitation de HackerOne, notre fournisseur de programme de divulgation de vulnérabilités (VDP), par e-mail sous deux jours ouvrés. Une fois votre rapport envoyé via HackerOne, notre équipe dédiée à la sécurité mettra en œuvre des mesures correctives dès que possible en fonction de la gravité et de la complexité des vulnérabilités.

Directives en matière de divulgation responsable

Étant donné qu’il s’agit d’un programme géré par HackerOne, veuillez ne pas mentionner ce programme ou toute vulnérabilité (y compris celles résolues) en dehors du programme sans accord explicite de l’organisation.

Pour en savoir plus sur les directives en matière de divulgation, veuillez consulter la page suivante (en anglais) :

https://www.hackerone.com/disclosure-guidelines

Champ d’application des réponses

Ce processus de traitement des vulnérabilités s’applique à trois ressources :

    \n
  • Le site principal d’Aura Home, Inc. sur lequel vous pouvez gérer votre compte, découvrir les produits et services, bénéficier d’une assistance, etc.
    • \n
  • Les services API qui fournissent des fonctionnalités pour nos applications Web/mobile ainsi que pour nos cadres photo numériques.
    • \n
  • Notre CDN d’images qui transmet des photos à nos applications Web/mobile et à nos cadres photo numériques.
    • \n

Processus de traitement des vulnérabilités

Aura Home, Inc (dénommé Aura) s’engage à assurer la sécurité de ses systèmes et des données de ses clients.

Découvrez un récapitulatif du cycle de vie du tri des problèmes d’Aura via HackerOne.

    \n
  1. Reconnaissance : première réponse par les analystes de sécurité de HackerOne.
    2. \n
  2. Vérification du champ d’application et déduplication : suppression des faux positifs, déduplication et vérification du champ d’application.
    3. \n
  3. Validation : vérification des vulnérabilités valides à l’aide d’une méthodologie cohérente qui comprend une reproduction du rapport, le calcul de la gravité, l’enrichissement des métadonnées et un rapport détaillant les résultats, l’impact et l’analyse des experts.
    4. \n
  4. Communications avec les hackers : maintien de l’engagement et d’une communication continue avec les hackers.
    5. \n
  5. Conseils sur les mesures correctives : des conseils pratiques pour gérer efficacement les risques et aider les clients à réduire ces derniers.
    6. \n

Pour en savoir plus, veuillez consulter la page suivante (en anglais) :

https://www.hackerone.com/hackerones-depth-approach-vulnerability-triage-and-validation

Le contenu de ce rapport sera immédiatement mis à disposition de l’équipe dédiée à la sécurité. Dans un premier temps, il ne sera pas rendu public, afin que l’équipe dédiée à la sécurité dispose de suffisamment de temps pour mettre en œuvre les mesures correctives nécessaires. Une fois le rapport clôturé, une divulgation publique peut être demandée par la personne ayant découvert la vulnérabilité ou par l’équipe dédiée à la sécurité.

\n