欢迎您参与由深圳市道通智能航空技术股份有限公司(以下简称“道通智能”或“Autel
Robotics”)设立的漏洞披露与响应计划(以下简称“本计划”)。道通智能充分重视产品及业务系统的网络安全,也高度认可研究人员在维护安全生态方面的专业贡献。欢迎各位研究者报告关于道通智能产品与服务的安全漏洞。
请您在加入本计划前,认真阅读并充分理解本《道通智能漏洞披露与响应协议》(以下简称“本协议”)。您一旦加入本计划并提交漏洞报告,即视为您已阅读、理解并同意受本协议及道通智能隐私政策(https://www.autelrobotics.cn/privacy/
)的约束
1.1 本协议由您(下称“报告者”)与道通智能就参与本计划事宜订立,具有法律效力。
1.2 报告者是指通过道通智能指定平台提交安全漏洞报告的自然人或依法设立的法人或其他组织。
1.3 本协议的内容还包括道通智能不时发布的计划规则、补充协议及其他说明文件,上述内容一经发布,亦构成本协议的组成部分,与本协议具有同等法律效力,报告者应一并遵守。
2.1 报告者应通过https://www.autelrobotics.cn/protocol/并按照页面指引提交对道通智能产品或服务的漏洞报告。
2.2 报告应包括以下内容:
2.2.1 漏洞的详细描述及其潜在风险;
2.2.2 复现步骤、操作流程或PoC证明;
2.2.3 测试环境信息,包括漏洞关联的URL/APP、代码片段、设备型号、操作系统版本、测试IP地址、使用的账号信息等;
2.2.4 测试过程中生成的相关数据、截图、日志文件等支持材料。
2.3 可受理的漏洞范围包括:
2.3.1 道通智能官网:https://www.autelrobotics.com/,https://www.autelrobotics.cn/;
2.3.2 道通智能官方APP,包括但不限于Autel Mapper、道通天穹等;
2.3.3 道通智能在维保周期内的硬件产品及配套管理系统。
2.4 道通智能不接受以下情形的漏洞报告:
2.4.1 已停止销售且不再维护支持的产品;
2.4.2 第三方网站、平台或服务所存在的问题;
2.4.3 公开或已知漏洞(已被广泛披露或已被其他报告者提交)。
2.5 漏洞评级标准将主要依据如下因素:
2.5.1 泄漏信息的敏感性及潜在危害;
2.5.2 漏洞被利用的难度;
2.5.3 对用户、系统或道通智能品牌可能造成的影响范围及严重性;
2.5.4 漏洞传播性与是否可被广泛利用。
2.6 漏洞披露政策:
2.6.1 报告者不得在未经道通智能书面授权的情况下公开、传播漏洞细节;
2.6.2 如经许可披露,应避免包含用户数据、隐私信息或道通智能服务器信息等敏感内容;
2.6.3 报告应客观准确描述漏洞影响,不得夸大、误导或制造恐慌。
2.7 报告者须保证提交的信息真实、完整、合法。如因虚假或不完整信息导致平台禁用或法律风险,由报告者自行承担。
2.8 道通智能漏洞修复周期参考如下标准:
2.8.1 高危及以上等级漏洞:原则上90个工作日内完成修复;
2.8.2 中低等级漏洞:原则上180个工作日内完成修复。
2.8.3 如遇特殊硬件适配限制等情形,实际修复时间将以公告或沟通为准。
3.1 报告者在进行漏洞收集、验证和提交的过程中应遵守法律法规及本协议相关约定,不得以任何方式破坏道通智能系统运行或侵犯道通智能及其用户的合法权益。
3.2 报告者应确保所提交漏洞信息来源合法,不得通过扫描、嗅探、爆破、欺骗、钓鱼等非法方式获取漏洞。
3.3 报告者不得以任何方式:
3.3.1 非法入侵道通智能网络或干扰其产品正常运行;
3.3.2 泄露或出售道通智能或其用户的数据信息;
3.3.3 利用漏洞测试造成用户服务中断或其他影响用户体验的行为;
3.3.4 利用漏洞进行敲诈、恐吓、炒作等不当行为。
3.4 报告者承诺对所提交的漏洞报告及相关内容的真实性和完整性承担法律责任。
3.5 报告者提交漏洞后,不得以公开为要挟提出条件,亦不得转让或授权第三方披露或使用所提交漏洞信息。
3.6 报告者所提交的漏洞报告的所有权及其相关知识产权归道通智能所有。未经道通智能事先书面同意,报告者不得将报告内容用于任何商业或非商业用途。
3.7 报告者理解并同意,对其在测试、提交、沟通过程中所知悉的与道通智能有关的任何信息(包括技术、产品、代码、运营数据等),负有严格的保密义务。未经书面许可,不得擅自披露、传播或利用。
3.8 若您未满 18 周岁,即为未成年人,应在监护人监护、指导下阅读本协议和参与本项目。
4.1 道通智能负责运营与维护漏洞提交平台,确保研究者能顺利进行注册、提交、查询等操作。
4.2 道通智能有权根据报告内容进行验证、修复及安全加固,同时保留对报告漏洞的有效性、危害等级进行独立判定的权利。
4.3 道通智能承诺对每一份符合要求的有效漏洞报告指派专人跟进、答复,并在合理时间内给予处理意见。
4.4 道通智能有义务依法保护报告者所提交的个人身份信息,不会在未经授权或非法定情形下向第三方披露。
4.5 对于报告中含有违法内容、不实信息或故意误导、敲诈行为的,道通智能有权直接终止其参与资格,保留追责权利。
4.6 道通智能保留对本计划的内容、服务条款等进行调整、解释、暂停或终止的权利,但会通过官方网站公告或电子邮件等方式提前通知报告者。
4.7 道通智能不会因其对报告内容进行初步形式审查而免除报告者应承担的内容真实性、合法性之责任。
4.8 如报告者因参与本计划与第三方发生争议,报告者应自行处理并承担全部责任。因此给道通智能造成损失,报告者亦应承担赔偿责任。
5.1 报告者在提交漏洞时,应尽可能提供完整、准确、可复现的漏洞信息,包括但不限于:
5.1.1 漏洞发现背景及利用流程;
5.1.2 涉及的URL、APP、接口或系统模块;
5.1.3 测试设备型号、系统版本、APP版本、序列号(如适用);
5.1.4 使用的测试账号及IP地址;
5.1.5 非破坏性的验证样例(如远程命令执行);
5.1.6 必要时可附带抓包记录、日志、截图或视频等作为辅助材料。
5.2 道通智能会对报告者提交的漏洞进行初步确认、评级与复现测试,评级依据包括但不限于:
5.2.1 数据泄露的范围与敏感程度;
5.2.2 利用难度与自动化程度;
5.2.3 对道通智能用户、平台或产品的影响范围;
5.2.4 漏洞是否在维护周期内的系统中存在。
5.3 报告者应遵守负责任的漏洞披露原则,在未获得道通智能明确书面同意前,不得将相关漏洞信息向任何第三方披露、发布或传播。
5.4 若道通智能批准公开披露漏洞的,报告者在披露时应确保:
5.4.1 不涉及用户隐私信息、敏感数据或道通智能业务系统详情;
5.4.2 披露内容客观真实,不得夸大其影响或误导公众;
5.4.3 不得引发不必要的安全恐慌或市场混乱。
5.5 报告者提交的漏洞报告及相关成果,其所有权及知识产权归属道通智能公司所有,未经书面授权不得擅自使用、发布或转让。
6.1 报告者提交的漏洞报告、验证步骤、测试数据、分析文档等相关内容,一经提交即视为归属深圳市道通智能航空技术股份有限公司所有,其对应的所有权、著作权及相关知识产权归道通智能享有。
6.2 未经道通智能书面许可,报告者不得以任何形式使用、复制、公开、传播、许可、授权或向第三方披露其提交的漏洞报告或与之相关的测试资料。
6.3 如报告者违反本章节的规定,道通智能有权立即取消其参与本计划的资格,并保留追究其法律责任的权利,包括但不限于:
6.3.1 向相关监管机构或司法机关通报;
6.3.2 要求赔偿因此产生的直接或间接经济损失及商誉损害。
6.4 报告者在参与本计划过程中提交的个人信息(包括但不限于姓名、联系方式、身份证件等),仅用于与本计划相关的身份确认、漏洞核验、统计分析等目的。
6.5 道通智能将采取合理的技术与管理措施保障报告者信息的机密性与安全性。除法律法规或监管要求另有规定,或经报告者明确授权外,道通智能不会向任何非关联方披露报告者个人信息。
6.6 报告者应保证其提交的信息真实、完整、合法有效。如因报告者信息错误、虚假或未更新造成无法联系的,相关责任由报告者自行承担。
7.1 报告者理解并同意:道通智能有权基于业务发展、策略调整、技术升级、安全运营等原因,在不另行通知的情况下,对本计划进行暂停、修改、中止或终止。由此可能引发的任何形式的损失或不便,报告者自愿放弃向道通智能提出任何赔偿或权利主张。
7.2 若报告者存在以下任一情形,道通智能有权在无需事先通知的情况下,立即取消其参与本计划的资格,必要时可追究法律责任,具体包括但不限于:
7.2.1 提交虚假、恶意或重复漏洞报告;
7.2.2 利用漏洞对道通智能产品、系统、用户或第三方实施攻击、操控、干扰或造成实际损害;
7.2.3 在未经授权的情况下,将漏洞信息泄露、传播或用于非测试目的;
7.2.4 违反国家法律法规、公序良俗或违反本协议任何条款的行为;
7.2.5 拒绝配合漏洞确认流程,或提供虚假身份信息。
7.3 道通智能不对因以下原因导致的服务中断、平台访问失败等承担责任:
7.3.1 不可抗力因素(如自然灾害、疫情、战争、政府行为等);
7.3.2 通信网络故障、病毒或黑客攻击;
7.3.3 第三方平台、渠道或服务异常;
7.3.4 报告者自身设备或网络问题。
7.4 道通智能将依据行业通行的安全标准维护系统稳定性,但不对本计划平台或相关系统持续性、无漏洞性作出绝对保证。因系统维护、升级、异常而导致的漏洞提交中断,报告者应予以理解。
7.5 若报告者决定退出本计划,道通智能有权删除其在平台上的全部历史数据、未完成报告及相关内容,且无须向其返还任何信息或提供数据导出服务。
8.1 本协议的订立、生效、履行、解释及争议解决,适用中华人民共和国现行有效法律法规(不含冲突规范)。
8.2 因参与本计划或履行本协议过程中所产生的任何争议,双方应首先通过友好协商解决;协商不成的,任一方可向协议签署地有管辖权的人民法院提起诉讼。本协议签署地为广东省深圳市南山区。
8.3 若本协议部分条款因任何原因被认定为无效或不可执行,不影响本协议其他条款的效力,未受影响的条款仍对双方具有法律约束力。
8.4 本协议中的标题仅为阅读便利之目的设置,不应影响条款含义或解释。
8.5 道通智能有权根据实际运营情况更新或调整本计划条款。报告者继续参与本计划视为接受经修订后的条款内容。
如果你对本计划或本协议相关事宜有任何疑问或投诉、建议时,您可以通过以下任一方式与我们联系:
9.1 通过400-800-1866与我们联系
9.2 发送邮件至:after-sale@autelrobotics.com
9.3 寄到如下地址:中国广东省深圳市南山区桃源街道长源社区学苑大道1001号南山智园B1栋801
