Keenetic Product Security Advisory

Emittente e ambito di applicazione: L'entità che emette la presente Politica è Keenetic GmbH, Berliner Straße 300b, 63067 Offenbach am Main, Germania. La presente Politica è stabilita come la Politica di riferimento per tutte le entità Keenetic nel mondo.

In qualità di ricercatore di sicurezza o segnalatore di vulnerabilità, il lavoro dell'utente è fondamentale per rafforzare la sicurezza dei prodotti e delle infrastrutture digitali. Abbiamo creato questa politica di Divulgazione Coordinata delle Vulnerabilità (“CVD”) per garantire che le scoperte dell'utente siano trattate con rispetto, gestite in modo responsabile e seguite rapidamente. Essa stabilisce come Keenetic (denominata “Keenetic GmbH”, “noi”) risponderà alle segnalazioni dell'utente, le garanzie che l'utente può aspettarsi e i passaggi che portano a un processo di divulgazione di successo.

Inoltre, vogliamo assicurarci che i contributi dell'utente siano apprezzati. Incoraggiamo a partecipare al programma di bug Bounty di Keenetic, che offre ricompense finanziarie per esprimere il nostro apprezzamento e incoraggiare una collaborazione continua.

Partecipando a questo processo, l'utente non solo aiuta a proteggere utenti e organizzazioni, ma si unisce anche a una comunità in cui la sua esperienza è riconosciuta e premiata. Insieme, possiamo rendere i prodotti Keenetic più sicuri, creare fiducia e dare vita a un ecosistema digitale più forte.

Ⅰ. Ambito di applicazione della politica CVD – Cosa consideriamo una vulnerabilità valida

Una vulnerabilità valida, nel contesto di questa politica, è intesa come una debolezza, un difetto o un problema di sicurezza che riguarda direttamente uno dei prodotti o delle infrastrutture di Keenetic che può essere sfruttato.

Per qualificarsi come segnalazione valida, le informazioni divulgate non devono essere già di dominio pubblico, garantendo così che la segnalazione apporti nuove e utili conoscenze al processo di sicurezza. Inoltre, le segnalazioni generate esclusivamente da strumenti o scansioni automatizzate senza un'adeguata documentazione di supporto non sono considerate adeguate, in quanto prive delle prove necessarie per consentire un'analisi e una risoluzione significative di una vulnerabilità valida. Ogni segnalazione dovrebbe idealmente contenere dettagli di supporto. Questo ci aiuta a concentrarci sui problemi reali e a rispondere più rapidamente.

Ⅱ. Come segnalare una vulnerabilità

Quando si scopre una vulnerabilità valida, si deve presentare una segnalazione utilizzando i seguenti canali.

Email: È possibile inviarci un'e-mail a security@keenetic.com per garantire un coordinamento e un monitoraggio adeguati.

Modulo web: Forniamo un modulo di invio web sicuro sulla nostra pagina di divulgazione delle vulnerabilità: https://keenetic.com/security/anonymous-reporting-form. Questo modulo supporta la segnalazione anonima. Non è necessario fornire alcuna informazione personale per inviare una segnalazione; tuttavia, si tenga presente che in caso di segnalazione anonima non saremo in grado di porre domande di approfondimento, il che potrebbe limitare la nostra capacità di indagare sul problema. Il modulo web è disponibile in inglese e guida l'utente a includere i dettagli chiave di cui abbiamo bisogno.

Security.txt: Sul nostro sito web keenetic.com/security.txt manteniamo un file che elenca i nostri contatti e le nostre preferenze per la divulgazione delle vulnerabilità. I segnalatori possono fare riferimento a questo file per informazioni aggiornate su come contattarci.

Quando si invia una segnalazione, si prega di includere il maggior numero possibile di dettagli tecnici. Questo ci aiuta a classificare e risolvere il problema più velocemente. Suggeriamo di fornire:

• Una descrizione della vulnerabilità e del suo potenziale impatto. Cosa potrebbe ottenere un aggressore? Quali aspetti di riservatezza/integrità/disponibilità sono a rischio? Quale potrebbe essere il sistema interessato nell'infrastruttura IT di Keenetic (ad es. Sistemi aziendali Keenetic, sistema operativo, app, monitoraggio e gestione remota, cloud e account Keenetic)?

• Specifici nomi di prodotto, versioni e configurazioni interessati. (Per siti web o servizi, includere URL o IP; per hardware o software, includere numeri di modello o di versione)

• Passaggi per riprodurre il problema – ad es. quali comandi, input o azioni attivano la vulnerabilità. Screenshot o codice proof-of-concept (PoC) sono molto utili.

• Eventuali correzioni suggerite o riferimenti a soluzioni (opzionali, ma apprezzati).

• Le informazioni di contatto (nome o alias e un metodo sicuro per essere contattati) se si desidera una risposta. È possibile segnalare in modo anonimo, ma in tal caso non potremo comunicare con l'utente per chiarimenti o per fornire aggiornamenti sullo stato.

Informazioni volontarie: il segnalatore può fornire volontariamente le informazioni di contatto per il coordinamento, ma non è tenuto a fornire informazioni di identificazione personale. È possibile utilizzare il nostro modulo di segnalazione anonima basato sul sito web.

Ⅲ. Cosa ci aspettiamo dall'utente – Codice di condotta

Premiamo e riconosciamo solo i risultati dei segnalatori che, nell'ambito di questa politica CVD, aderiscono a elevati standard di integrità e comportamento responsabile nella scoperta e segnalazione di vulnerabilità. Pertanto, non tolleriamo i seguenti comportamenti:

• Test in buona fede: i segnalatori devono condurre solo test non distruttivi e necessari a confermare l'esistenza della vulnerabilità (Proof of Concept). Non devono compromettere intenzionalmente i dati degli utenti, interrompere i servizi o danneggiare i sistemi.

• Nessuno sfruttamento oltre il test: Lo sfruttamento attivo di una vulnerabilità oltre il test iniziale di proof-of-concept è severamente proibito. In particolare, non abusare della vulnerabilità per compromettere dati, alterare configurazioni, passare ad altri sistemi o accedere persistentemente ai nostri sistemi. È sufficiente attivare il problema per dimostrarne l'esistenza – non scaricare, ad esempio, più dati del necessario per dimostrare il difetto. Se si incontrano informazioni sensibili (ad es. dati personali di utenti, materiale proprietario), interrompere i test, segnalarcelo immediatamente e non divulgare o conservare tali informazioni.

• Nessuna ingegneria sociale o attacco fisico: non utilizzare tecniche di ingegneria sociale (e-mail di phishing, pretexting telefonico, ecc.) contro i nostri dipendenti o sistemi e non eseguire alcun test di sicurezza fisica (come il tentativo di entrare nei nostri uffici o data center). Questa politica è limitata alle vulnerabilità tecniche dei nostri prodotti e infrastrutture ed esclude i vettori di attacco sociali e fisici.

• Nessun attacco di tipo denial-of-service o “forza bruta”: Astenersi dall'eseguire attacchi DoS/DDoS o qualsiasi test che possa degradare la disponibilità dei nostri servizi per gli utenti, nonché attacchi di tipo “forza bruta”. Vogliamo evitare qualsiasi interruzione per i nostri clienti.

• Nessun attacco a terze parti o pubblico: non prendere di mira le vulnerabilità di servizi o prodotti di terze parti che utilizziamo (si prega invece di avvisare direttamente tali fornitori). Allo stesso modo, non testare sistemi che non sono di nostra proprietà o gestiti da noi. Se durante la ricerca si accede inavvertitamente a dati o sistemi di altre parti, avvisateci e cessate ogni ulteriore azione. Non compromettere o manipolare dati di terzi durante la ricerca.

• Riservatezza e uso delle informazioni: i segnalatori devono mantenere riservati i dettagli della vulnerabilità e non devono divulgare pubblicamente, vendere o distribuire in altro modo il codice di exploit o i dettagli tecnici che ne consentirebbero lo sfruttamento fino a quando Keenetic non avrà fornito un avviso pubblico o autorizzato in altro modo la divulgazione. Ciò non impedisce al segnalatore di informare le autorità competenti, il CSIRT nazionale o le forze dell'ordine, ove richiesto dalla legge o laddove la divulgazione immediata sia necessaria per prevenire un danno imminente.

• Periodo di rimedio: a Keenetic sarà concesso un periodo di rimedio ragionevole, basato sulla gravità, per indagare, rimediare e distribuire gli aggiornamenti di sicurezza. Se Keenetic non riesce a rimediare o a fornire una mitigazione credibile entro un periodo ragionevole, il segnalatore può informare un CSIRT nazionale o un'autorità competente.

Se un segnalatore viola inavvertitamente una parte di questo codice di condotta, ci impegniamo a gestire comunque in buona fede e al meglio delle nostre capacità qualsiasi vulnerabilità scoperta; tuttavia, tale segnalatore potrebbe non ricevere alcuna ricompensa.

Ⅳ. Il nostro impegno verso l'utente quando viene segnalata una vulnerabilità

Tutte le segnalazioni in arrivo vengono trattate nella massima misura possibile. Pertanto, è necessario fornire almeno un'opzione di contatto valida quando si segnala una vulnerabilità. Naturalmente, è possibile segnalare una vulnerabilità in modo anonimo.

1. Risposta

Dopo l'invio di una segnalazione di vulnerabilità, informeremo l'utente di averla ricevuta. Si tratterà di una risposta personale da parte del nostro team di sicurezza. Se avremo bisogno di chiarimenti o di informazioni aggiuntive, le chiederemo il prima possibile. Si tenga presente che, per le segnalazioni anonime, ovviamente non possiamo rispondere, ma procederemo con l'indagine. Per la trasmissione di informazioni riservate, è necessario che l'utente fornisca almeno la propria e-mail per poter utilizzare la nostra chiave di crittografia PGP disponibile all'indirizzo https://keenetic.com/it/security/keenetic-security-pgp-public-key.asc

Dopo un'ulteriore analisi della segnalazione, forniremo un feedback sull'accettazione o il rifiuto della vulnerabilità segnalata, domande pertinenti per comprendere la vulnerabilità segnalata o una spiegazione del perché l'indagine sulla vulnerabilità segnalata sta richiedendo più tempo del previsto.

2. Comunicazione riservata

Garantiamo, nella misura consentita dalla legge, che ogni segnalazione di vulnerabilità in arrivo sia trattata in modo confidenziale e che i dati personali dell'utente non vengano divulgati a terzi senza il suo esplicito consenso.

Le informazioni necessarie per la divulgazione pubblica della vulnerabilità convalidata e verificata vengono divulgate pubblicamente nella misura in cui siamo obbligati per legge.

3. Segnalazione anonima (opzionale)

È possibile utilizzare il nostro modulo di segnalazione anonima basato sul sito web.

Pur rispettando il desiderio dell'utente di rimanere anonimo, si prega di essere consapevoli che le segnalazioni anonime possono essere elaborate solo in misura limitata o forse per nulla, a causa della mancanza di opzioni per richiedere chiarimenti tecnici o di contenuto, specialmente in caso di problemi complessi.

4. Comunicazione rispettosa e aperta

Tutte le comunicazioni rimarranno professionali e tratteremo l'utente con rispetto. Ci aspettiamo la stessa cortesia in cambio – abbiamo tolleranza zero per qualsiasi discriminazione, molestia o mancanza di rispetto nelle comunicazioni da entrambe le parti.

Il nostro team di sicurezza potrebbe contattare l'utente con domande per comprendere meglio il problema o richiedere artefatti tecnici e istruzioni riproducibili in modo che la vulnerabilità possa essere riprodotta e risolta. Incoraggiamo l'utente a chiedere aggiornamenti in qualsiasi momento; consideriamo le richieste di follow-up benvenute e un segno di interesse, non un fastidio.

V. Coordinamento e completamento della divulgazione

Le vulnerabilità convalidate e verificate vengono divulgate pubblicamente da Keenetic. La notifica pubblica include:

• Una descrizione della vulnerabilità.

• Informazioni che consentono agli utenti di identificare i prodotti/le versioni interessati.

• L'impatto e la gravità.

• Istruzioni chiare su come applicare misure correttive o una patch.

Il processo di divulgazione coordinata delle vulnerabilità è considerato concluso se la vulnerabilità è stata mitigata o corretta mediante misure appropriate, se è stata divulgata pubblicamente oppure se gli elementi riportati nella segnalazione della vulnerabilità risultano infondati e, di conseguenza, la segnalazione può essere elaborata solo in misura limitata o non può essere elaborata affatto.

Consideriamo completato un processo CVD quando si verifica una delle seguenti condizioni:

• è stata implementata una correzione o una mitigazione ed è stato rilasciato un avviso pubblico; oppure

• il problema segnalato è stato determinato non essere una vulnerabilità (falso positivo o fuori ambito) e ciò è stato comunicato al segnalatore; oppure

• non siamo in grado di riprodurre o necessitiamo di maggiori informazioni e il segnalatore non risponde per un periodo prolungato (generalmente 30 giorni), nel qual caso chiudiamo il caso in attesa di nuove informazioni.

Comunichiamo la fine del processo CVD al segnalatore, a meno che la vulnerabilità sia stata segnalata in modo anonimo.

Ⅵ. Ricompense

Apprezziamo profondamente gli sforzi dei segnalatori e di altri che ci segnalano privatamente le vulnerabilità. Come segno di ringraziamento, gestiamo un Programma Bug Bounty. I ricercatori di sicurezza esterni che segnalano responsabilmente le vulnerabilità in conformità con questa politica possono avere diritto a una ricompensa finanziaria come segno di apprezzamento. L'importo di qualsiasi ricompensa è determinato individualmente in base alla gravità della vulnerabilità segnalata, come descritto nei nostri Termini e condizioni del Bug Bounty.

Ⅶ. Clausola di esonero da responsabilità legale

Aderendo a questa politica CVD, Keenetic riconosce che il segnalatore agisce in una ricerca di "buona fede" e non intraprenderà azioni penali contro il segnalatore in relazione alle attività di ricerca.

Keenetic (“Keenetic”, “noi”) gestisce un Programma Bug Bounty (“Programma”). Il Programma è disciplinato dai presenti Termini e Condizioni del Bug Bounty e dalla Politica di divulgazione coordinata delle vulnerabilità (“Politica CVD”). Collettivamente, questi documenti costituiscono i termini legali vincolanti del Programma (i “Termini”).

1. Panoramica del programma

(1) L'obiettivo del Programma è migliorare la sicurezza dei nostri prodotti e proteggere i dati degli utenti sfruttando competenze esterne, in linea con i nostri Termini. Inviando una segnalazione di vulnerabilità o partecipando in altro modo, l'utente accetta i Termini.

(2) Una vulnerabilità valida, nel contesto dei Termini, è intesa come una debolezza, un difetto o un problema di sicurezza che riguarda direttamente una delle infrastrutture dei prodotti di Keenetic che può essere sfruttata. L'importo di ogni ricompensa è determinato individualmente in base alla gravità della vulnerabilità segnalata.

(3) Le decisioni prese da Keenetic in merito ai Bug Bounty sono definitive e vincolanti. Keenetic può modificare o annullare questo Programma in qualsiasi momento e per qualsiasi motivo.

2. Clausola di esonero da responsabilità

(1) Riteniamo autorizzate le attività condotte in conformità con i nostri Termini; ciò significa che non avvieremo azioni legali (civili o penali) nei confronti dell'utente per i suoi sforzi in buona fede nell'ambito del Programma.

(2) In particolare, questa garanzia si applica solo se l'utente rispetta i Termini del Programma – non possiamo immunizzare l'utente da conseguenze legali avviate da terzi o autorità per azioni che esulano dal nostro ambito. L'utente è tenuto a rispettare sempre le leggi applicabili e ad astenersi da qualsiasi azione che vada oltre quanto consentito nel presente documento. In caso di dubbi sulla liceità di un'azione, l'utente è pregato di interromperla e di interpellarci preventivamente (vedere le informazioni di contatto nella sezione “Procedura per la segnalazione di una vulnerabilità e Codice di condotta” della Politica di divulgazione coordinata delle vulnerabilità di Keenetic.

3. Ambito di applicazione del programma

(1) Il Programma copre i seguenti prodotti, servizi e siti web della nostra organizzazione (“sistemi inclusi nell'ambito di applicazione”):

• Applicazioni web: ad es., il nostro sito web ufficiale e i sottodomini, i portali per i clienti e i servizi online.
• Applicazioni mobili/desktop: le versioni più recenti delle nostre app (Android, iOS, Windows) distribuite tramite gli app store ufficiali.
• API e infrastruttura: API documentate pubblicamente e servizi di backend di nostra proprietà.
• Dispositivi hardware/IoT: qualsiasi prodotto hardware con il relativo firmware.

(2) Solo le vulnerabilità che interessano direttamente questi sistemi inclusi nell'ambito di applicazione sono idonee a ricevere ricompense. In caso di dubbi sull'inclusione di un sistema, si prega di informarsi prima di effettuare i test. L'ambito di applicazione potrà essere aggiornato di volta in volta (ad es. aggiungendo nuovi target o sospendendo temporaneamente alcuni sistemi) – tali modifiche saranno annotate sulla pagina web del nostro Programma.

(3) A scanso di equivoci, i seguenti sistemi sono esclusi dall'ambito di applicazione e non è autorizzato testarli (“sistemi esclusi dall'ambito di applicazione”):

• Servizi o infrastrutture di terze parti: le vulnerabilità nelle piattaforme di terze parti che utilizziamo (provider di cloud, strumenti SaaS, ecc.) devono essere segnalate a tali fornitori, non a noi. Non sono consentiti attacchi o scansioni contro i nostri fornitori o partner.
• Asset non di nostra proprietà: qualsiasi sito web, Applicazione o sistema non espressamente elencato come incluso nell'ambito di applicazione (compresi i domini che non appartengono alla nostra azienda).
• Negazione del servizio: qualsiasi attacco che interrompa il servizio (DoS/DDoS) o un numero elevato di richieste di forza bruta o tentativi di accesso.
• Ingegneria sociale e attacchi fisici: la manipolazione dei nostri dipendenti o utenti (tramite phishing, vishing, ecc.) o il tentativo di ottenere l'accesso fisico agli uffici sono severamente vietati. Il Programma è limitato alle vulnerabilità tecniche.
• Violazioni della privacy: accedere a, copiare o modificare dati che non siano i propri. Ad esempio, l'estrazione di informazioni personali di altri utenti o di dati proprietari è esclusa dall'ambito di applicazione, anche se una vulnerabilità lo rende teoricamente possibile. Se durante i test si incontrano dati di terzi, interrompere immediatamente e segnalare il problema; non continuare a esplorare tali dati.

4. Idoneità al programma

(1) Il presente Programma è destinato a ricercatori di sicurezza esterni. Per partecipare e ricevere eventuali ricompense, devi soddisfare tutti i seguenti criteri di idoneità

a. Età minima
È necessario avere almeno 18 anni. Se si ha un'età pari o superiore a 14 anni ma inferiore a 18 (o all'età della maggiore età nel proprio paese), è necessario avere il permesso dei propri genitori o del tutore legale per partecipare. In ogni caso, non sono ammessi partecipanti di età inferiore ai 14 anni.

b. Autorizzazione individuale o dell'organizzazione
È possibile partecipare a titolo individuale o per conto del proprio datore di lavoro. Se si effettua una segnalazione nell'ambito del proprio impiego o utilizzando le risorse del proprio datore di lavoro, assicurarsi che quest'ultimo consenta la partecipazione a programmi di bug bounty. È responsabilità dell'utente esaminare i propri contratti o le proprie politiche di impiego.

c. Nessun dipendente/collaboratore attuale o recente
I dipendenti di Keenetic o delle sue consociate non sono idonei. Ciò include chiunque abbia lasciato il nostro impiego negli ultimi 6 mesi, nonché chiunque lavori attualmente per noi come appaltatore, consulente o stagista con accesso ai nostri sistemi interni. Anche i familiari diretti (coniuge, genitore, figlio, fratello/sorella) dei nostri dipendenti non sono idonei. Ciò garantisce l'equità ed evita i conflitti di interesse.

d. Settore pubblico
Se si è un dipendente del settore pubblico (ad es. governo, forze dell'ordine, forze armate o settore dell'istruzione), si può partecipare solo a titolo personale e non nell'ambito delle proprie mansioni ufficiali. È responsabilità dell'utente assicurarsi che l'accettazione di una ricompensa da parte nostra non violi alcuna legge o norma etica applicabile.

e. Segnalazioni multiple e duplicati
Se la stessa vulnerabilità viene segnalata da più ricercatori, solo la prima segnalazione che riceviamo avrà diritto a un Bug Bounty, a condizione che i nostri Termini siano rispettati. Se una segnalazione successiva contiene nuove informazioni di cui non eravamo a conoscenza, possiamo, a nostra discrezione, assegnare una ricompensa parziale al secondo segnalatore. Si prega di notare che potremmo essere già in fase di risoluzione di un problema quando lo si segnala; in tal caso, informeremo l'utente e tale caso potrebbe non essere idoneo per una ricompensa, se lo riterremo un problema noto.

(2) Ci riserviamo il diritto di squalificare qualsiasi Partecipante che non soddisfi questi criteri o che si scopra violare l'intento di queste regole. I Bug Bounty non saranno pagati a chiunque sia presente in una lista di sanzioni o a chiunque sarebbe legalmente inammissibile per noi compensare. In caso di domande sull'idoneità o di necessità di chiarimenti, si prega di contattarci.

5. Procedura per la segnalazione di una vulnerabilità e Codice di condotta

(1) Come stabilito in modo completo nella Policy CVD, Keenetic fornisce molteplici canali sicuri per la segnalazione di vulnerabilità valide, tra cui

• e-mail - security@keenetic.com,
• modulo di invio web all'indirizzo https://keenetic.com/security/anonymous-reporting-form, e
• file security.txt ospitato sul nostro sito web.

(2) Le segnalazioni devono contenere dettagli tecnici completi, quali la descrizione della vulnerabilità, il suo potenziale impatto, i sistemi interessati, le versioni del prodotto e i passaggi per riprodurla, integrati, ove possibile, da materiale proof-of-concept.

(3) La segnalazione anonima è consentita; tuttavia, può limitare la comunicazione di follow-up. Tutti i segnalatori sono tenuti ad attenersi al nostro Codice di condotta indicato nella Politica CVD, che vieta, ad esempio, test distruttivi, sfruttamento oltre il proof-of-concept, ingegneria sociale, attacchi fisici, tentativi di denial-of-service, attacchi di forza bruta e il puntamento a sistemi di terze parti.

6. Ricompense

(1) Il Programma offre Bug Bounty per le segnalazioni di vulnerabilità idonee e convalidate. Il nostro obiettivo è riconoscere e ricompensare equamente i ricercatori di sicurezza in base alla gravità e all'impatto delle loro scoperte, pur essendo trasparenti su come vengono determinate le ricompense.

(2) Classifichiamo le vulnerabilità segnalate in base al loro impatto e alla loro sfruttabilità nelle seguenti categorie: bassa, media, alta e critica. Per ogni categoria, abbiamo fasce di ricompensa tipiche (in dollari USA). Una struttura di ricompensa tipica può includere:

(3) L'importo effettivo della ricompensa per ogni singolo caso è determinato a esclusiva discrezione di Keenetic dopo che il nostro team di sicurezza avrà convalidato la vulnerabilità segnalata e ne avrà valutato la gravità. Consideriamo fattori quali la classificazione e la sensibilità, nonché la quantità di sistemi/dati interessati, la facilità di sfruttamento e il rischio complessivo per i nostri utenti e la nostra organizzazione.

(4) Nessuna ricompensa sarà pagata nei seguenti casi:
a. Mancanza di flag Secure/HTTPOnly su cookie non sensibili;
b. Segnalazioni duplicate di problemi di sicurezza, inclusi problemi di sicurezza già identificati internamente;
c. Attacchi di scansione automatizzata;
d. Attacchi Distributed Denial of Service e attacchi Denial of Service;
e. Bug di UI, UX ed errori di ortografia, problemi di usabilità;
f. Violazioni di licenze o altre restrizioni applicabili al prodotto di qualsiasi fornitore;
g. Vulnerabilità che sono il risultato di malware;
h. Problemi di sicurezza teorici senza scenari di sfruttamento o superfici di attacco realistici, o problemi che richiederebbero complesse interazioni da parte dell'utente finale per essere sfruttati;
i. Vulnerabilità considerate al di sotto di un impatto P1;
j. Scoperta di qualsiasi servizio in uso la cui versione contenga vulnerabilità note (come una versione specifica del kernel Linux o di OpenSSL) senza una dimostrazione di intrusione, recupero di informazioni o interruzione del servizio utilizzando tale vulnerabilità;
k. Sfruttare i risultati di una vulnerabilità per creare ulteriori exploit per testare funzionalità normalmente inaccessibili, ad esempio utilizzando dati personali trapelati, se non c'è prova che una vulnerabilità possa essere sfruttata in misura maggiore;
l. Vulnerabilità in software e servizi di terze parti.

(4) Se un Partecipante viola una qualsiasi disposizione dei Termini, Keenetic può ridurre, trattenere o richiedere la restituzione di tutta o parte di qualsiasi ricompensa pagata o pagabile in relazione alla vulnerabilità pertinente. L'importo di qualsiasi riduzione sarà proporzionato alla gravità della violazione e potrà tenere conto di fattori quali la natura della violazione, il grado di colpevolezza e qualsiasi danno effettivo o potenziale causato.

7. Pagamenti

(1) Per ricevere il pagamento, l'utente dovrà fornirci i dettagli necessari (come il metodo di pagamento, le informazioni fiscali se richieste). Le ricompense saranno tipicamente pagate in Dollari Statunitensi ($) o, se da noi specificato, in un'altra valuta come l'Euro (€) – lo chiariremo durante il processo di assegnazione. Spesso possiamo soddisfare una valuta di pagamento preferita al tasso di cambio al momento del pagamento.

(2) Si prega di notare che i Bug Bounty sono generalmente considerati reddito imponibile. L'utente è l'unico responsabile del pagamento di eventuali tasse dovute nella sua giurisdizione per la ricompensa. Potremmo chiedere di compilare alcuni moduli fiscali (specialmente se ci si trova in un paese diverso) prima del pagamento. Se l'utente non è in grado o non è disposto a completare la documentazione richiesta, ciò potrebbe ritardare o annullare il pagamento.

8. Diritto d'autore

(1) L'utente conserva tutti i diritti di proprietà intellettuale relativi alla sua segnalazione. Tuttavia, inviandoci una segnalazione di vulnerabilità, l'utente ci concede una licenza non esclusiva, perpetua, irrevocabile, mondiale e gratuita per utilizzare, modificare, testare, creare opere derivate, condividere e pubblicare le informazioni contenute nella sua segnalazione allo scopo di affrontare la vulnerabilità e migliorare la sicurezza.

(2) Ad esempio, possiamo utilizzare il codice proof-of-concept inviato per riprodurre il problema, possiamo divulgare i dettagli a un fornitore terzo se necessario (per coordinare una correzione in un componente) e possiamo includere i dettagli pertinenti nei nostri avvisi pubblici. L'utente accetta inoltre che qualsiasi materiale inviato sia un'opera originale o che abbia il diritto legale di fornirlo.

9. Restrizioni sulla divulgazione

(1) Indagheremo sulla vulnerabilità segnalata dall'utente e cercheremo di risolverla il più rapidamente possibile. Se si desidera pubblicare i dettagli delle proprie scoperte, si prega di contattarci prima per l'approvazione. Per 30 giorni dopo la risoluzione della vulnerabilità, richiediamo che l'utente non divulghi il codice exploit proof-of-concept dettagliato e qualsiasi altra informazione che possa facilitare attacchi ai nostri prodotti digitali. Keenetic notificherà all'utente quando la vulnerabilità nella sua segnalazione sarà stata risolta.

(2) Qualsiasi violazione di questa sezione può obbligare l'utente a rimborsare le ricompense assegnate per la vulnerabilità e può comportare la sua esclusione dalla partecipazione futura al programma.

10. Responsabilità

(1) La nostra responsabilità per le violazioni dei Termini e per atti illeciti è limitata al dolo e alla colpa grave.

(2) La limitazione di responsabilità di cui al paragrafo 1 non si applica a

a. danni alla vita, al corpo e alla salute del Partecipante o

b. rivendicazioni del Partecipante per la violazione di obbligazioni essenziali, cioè obbligazioni che derivano dalla natura dei Termini e la cui violazione mette a repentaglio il raggiungimento dello scopo del Programma. In questo caso, tuttavia, la nostra responsabilità sarà limitata al risarcimento del danno prevedibile e tipicamente verificabile.

In questi casi, saremo responsabili per qualsiasi grado di colpa.

(3) Inoltre, la limitazione di responsabilità di cui al paragrafo 1 non si applica se un difetto è stato dolosamente occultato.

(4) Nella misura in cui è esclusa la responsabilità per danni nei nostri confronti, ciò si applica anche alla responsabilità personale per danni dei nostri dipendenti, rappresentanti e ausiliari.

11. Disposizioni varie

(1) Qualora una qualsiasi disposizione dei Termini sia o diventi invalida, la validità delle restanti disposizioni non ne sarà pregiudicata. Al posto della disposizione invalida, si riterrà concordata una disposizione che si avvicini il più possibile allo scopo economico della disposizione invalida.

(2) I Termini saranno disciplinati e interpretati in conformità con le leggi della Repubblica Federale di Germania. Le disposizioni di legge che limitano la scelta della legge e l'applicabilità delle disposizioni imperative, in particolare quelle del paese in cui il Partecipante in qualità di consumatore ha la residenza abituale, rimangono impregiudicate.

(3) Se il Partecipante è un commerciante, una persona giuridica di diritto pubblico o un fondo speciale di diritto pubblico, il foro competente per tutte le controversie derivanti dai Termini è Francoforte sul Meno, Germania.

ID avviso: KEN-PSA-2026-WP01
Gravità: Alta
Stato: Risolto in KeeneticOS 5.0.4 e versioni successive

Riepilogo

È stato identificato un problema di sicurezza in KeeneticOS che consente a un utente con accesso in sola lettura di estrarre informazioni interne del sistema e sfruttarle per elevare i propri privilegi a livello di amministratore. Questo problema richiede un accesso autenticato preventivo come utente in sola lettura, ma può essere sfruttato da remoto.

Prodotti/configurazioni interessati

Prodotti: Router Keenetic con versioni di KeeneticOS precedenti alla 5.0.4.

Prerequisito di configurazione: l'aggressore deve già possedere credenziali valide di sola lettura sull'interfaccia di gestione del dispositivo.

Dettagli sulla vulnerabilità

La vulnerabilità deriva da un isolamento insufficiente dei dati di configurazione sensibili accessibili agli account di sola lettura. Un utente autenticato con privilegi di sola lettura può recuperare specifici parametri interni dal dispositivo. Se combinati, questi parametri consentono all'aggressore di elevare i propri privilegi e ottenere l'accesso amministrativo all'interfaccia di gestione del router.

Gravità (stima dell'analista CVSS v3.1)

8,8 (Alta) — AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Motivazione: l'attacco richiede solo un accesso autenticato con privilegi bassi, è sfruttabile da remoto e comporta una compromissione totale della riservatezza, dell'integrità e della disponibilità.

Correzione e rafforzamento

Aggiornamento: aggiornare tutti i dispositivi che eseguono versioni precedenti alla 5,0 a KeeneticOS 5.0.4 o successive. Utilizzare l'ultimo sistema operativo disponibile per il proprio modello.

Mitigazione provvisoria: evitare di creare o assegnare account utente in sola lettura fino all'applicazione dell'aggiornamento.

Keenetic provides this translation of the original English language document as a convenience to users. Please refer to English language document as legally binding.

ID avviso: KEN-PSA-2025-WP01
Gravità: Alta
CWE: CWE-521 (Requisiti di password deboli)
Stato: Risolto in KeeneticOS 4.3 e versioni successive

Riepilogo

Prima di KeeneticOS 4.3, gli utenti potevano impostare password utente admin deboli e comunque aprire l’interfaccia web del router su Internet, il che comportava un alto rischio di compromissione. Recenti indagini interne hanno rivelato che questa vulnerabilità viene sfruttata da scanner di password automatici su dispositivi con le password deboli più comuni. L'ultima versione di KeeneticOS 4.3 impone password più complesse e blocca l'accesso web pubblico se viene impostata una password nota per essere compromessa.

Abbiamo identificato che un numero significativo di utenti continua a utilizzare password deboli o facili da indovinare. Ciò crea rischi significativi per la sicurezza, tra cui accessi non autorizzati, violazioni dei dati e potenziali interruzioni del servizio. La protezione dei dati degli utenti è la nostra massima priorità ed è essenziale risolvere queste vulnerabilità.

Per rafforzare la sicurezza generale e garantire la protezione continua dei dati degli utenti, verrà distribuito un aggiornamento software obbligatorio per i dispositivi che eseguono KeeneticOS precedente alla versione 4.3 in conformità con l'articolo 6 del Contratto di licenza con l'utente finale e in linea con la legge dell'UE sulla resilienza informatica (CRA). Questo aggiornamento include misure di sicurezza avanzate, strumenti per supportare la creazione di password più complesse e correzioni di bug critici che migliorano la stabilità del sistema e proteggono gli account degli utenti.

Ci scusiamo per gli eventuali disagi causati da questo aggiornamento. Per ridurre al minimo le interruzioni, cercheremo di implementarlo al di fuori del normale orario di lavoro. In caso di domande o per assistenza, si prega di contattare il nostro team di supporto.

Prodotti/configurazioni interessati

Prodotti: Router Keenetic con versioni di KeeneticOS precedenti alla 4.3.

Prerequisito di configurazione: l'interfaccia web del router deve essere esposta su Internet e l'accesso web remoto deve essere abilitato.

Dettagli sulla vulnerabilità

Problema: vengono accettate password amministrative deboli mentre è possibile accedere all'interfaccia utente Web da Internet.

Impatto: Acquisizione completa del controllo amministrativo del dispositivo, che consente modifiche alla configurazione, intercettazione/reindirizzamento del traffico, abilitazione di servizi aggiuntivi e possibile ulteriore penetrazione nella rete interna.

Vettore: Remoto (Internet); non è richiesta alcuna autenticazione preventiva o interazione da parte dell'utente.

Fattori contribuenti: Esposizione dell'interfaccia di amministrazione su Internet e credenziali deboli e facili da indovinare.

Gravità (stima dell'analista CVSS v3.1)

8.8 (Alta) — AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L
Motivazione: Percorso remoto e non autenticato per il controllo amministrativo quando sono consentite password deboli; l'impatto sulla disponibilità è secondaria rispetto alla riservatezza/integrità.

Correzione e rafforzamento

Controlli della piattaforma: il dispositivo controlla automaticamente se la password amministrativa è nell'elenco delle password deboli più comunemente utilizzate. In questo caso, blocca l'accesso remoto all'interfaccia web e l'esecuzione di software personalizzato, e la password può essere modificata solo dalla rete locale. Quando si inserisce una nuova password, il dispositivo applica i requisiti di complessità della password secondo le raccomandazioni NIST SP 800-63B.

Aggiornamento: trasferire tutti i dispositivi che eseguono versioni precedenti alla 4.3 a KeeneticOS 4.3 o successive. Utilizzare l'ultimo sistema operativo disponibile per il proprio modello.

Credenziali di amministrazione: utilizzare password lunghe e univoche. Si consigliano almeno 15 caratteri o una passphrase generata.

Limita l'esposizione: se l'accesso web remoto non è strettamente necessario, disabilitalo. Utilizzare le regole del firewall per consentire l'accesso all'interfaccia web del dispositivo solo da indirizzi IP specifici.

Monitorare gli attacchi: prestare attenzione a ripetuti accessi non riusciti o blocchi, poiché potrebbero essere indice di un attacco di forza bruta.

Keenetic provides this translation of the original English language document as a convenience to users. Please refer to English language document as legally binding.

ID avviso: KEN-PSA-2025-WA01
Gravità: Media
CVE: CVE-2025-56007, CVE-2025-56008, CVE-2025-56009
Stato: Risolto in KeeneticOS 4.3 e versioni successive

Keenetic ha ricevuto e verificato segnalazioni di tre gravi vulnerabilità di sicurezza che interessano tutte le versioni di KeeneticOS precedenti alla 4.3. Un ricercatore di sicurezza indipendente ha divulgato responsabilmente queste vulnerabilità, che sono state poi risolte nell'ultima versione stabile.

Le vulnerabilità sono identificate come CVE-2025-56007, CVE-2025-56008, CVE-2025-56009.

CVE-2025-56007 — Iniezione CRLF nell'endpoint API /auth:
Una vulnerabilità di iniezione CRLF nell'endpoint API /auth potrebbe consentire ad aggressori remoti di manipolare le intestazioni HTTP e iniettare comandi non autorizzati. Gli aggressori potrebbero aggiungere nuovi utenti amministratori e ottenere il controllo del dispositivo ingannando una vittima facendole aprire una pagina appositamente creata.

CVE-2025-56008 — Cross-Site Scripting (XSS) sulla pagina “Wireless ISP”:
Gli aggressori potrebbero sfruttare una vulnerabilità XSS nella pagina di configurazione “Wireless ISP” trasmettendo un SSID appositamente creato contenente uno script dannoso. Quando l'utente esegue la scansione delle reti disponibili utilizzando l'interfaccia web, lo script viene eseguito nel contesto della sessione dell'amministratore, consentendo all'aggressore di ottenere il controllo del dispositivo.

CVE-2025-56009 — Cross-Site Request Forgery (CSRF) nell'endpoint API /rci:
Una vulnerabilità CSRF nell'endpoint API /rci potrebbe consentire agli aggressori di eseguire azioni non autorizzate per conto di un utente autenticato. Attirando la vittima a visitare una pagina dannosa, gli aggressori potrebbero aggiungere silenziosamente utenti con autorizzazioni complete e compromettere il dispositivo.

Dispositivi potenzialmente interessati:
Tutti i modelli Keenetic con l'indice “KN”, rilasciati dal 2017 in poi.

Gravità:
La gravità è considerata media, in quanto l'utente deve essere connesso all'interfaccia web del router durante l'attacco. Un attacco alla pagina “Wireless ISP” richiede anche che l'aggressore sia vicino al dispositivo.

Versioni del firmware interessate:
Tutte le versioni di KeeneticOS fino alla 4.2.

Soluzione:
Si consiglia vivamente a tutti gli utenti di aggiornare i propri dispositivi Keenetic all'ultima versione stabile del firmware, KeeneticOS 4.3, che include le patch per queste vulnerabilità. Gli aggiornamenti del firmware possono essere eseguiti tramite l'interfaccia web del dispositivo o l'applicazione mobile Keenetic.

Ringraziamenti:
Ringraziamo il ricercatore indipendente per la sua divulgazione responsabile e il suo contributo al miglioramento della sicurezza dei prodotti Keenetic.

Keenetic provides this translation of the original English language document as a convenience to users. Please refer to English language document as legally binding.

ID avviso: KEN-PSA-2025-WD01
Gravità: Media
CVE: CVE-2025-20674, CVE-2025-20685, CVE-2025-20686
Stato: Risolto in KeeneticOS 4.3.2 e versioni successive

Keenetic è a conoscenza di una vulnerabilità di “Iniezione di pacchetti arbitrari” nel driver AP Wi-Fi, segnalata dal produttore del chipset, Mediatek, Inc. Esiste un modo per iniettare un pacchetto arbitrario a causa di un controllo delle autorizzazioni mancante. Ciò potrebbe portare a un'escalation remota dei privilegi senza la necessità di ulteriori privilegi di esecuzione. L'interazione dell'utente non è necessaria per lo sfruttamento.

Il produttore del chipset ha anche segnalato ulteriori vulnerabilità, come una possibile scrittura fuori dai limiti a causa di un controllo errato dei limiti. Ciò potrebbe portare all'esecuzione di codice in modalità remota senza la necessità di ulteriori privilegi di esecuzione.

Le vulnerabilità sono identificate come CVE-2025-20674, CVE-2025-20685, CVE-2025-20686.

Dispositivi potenzialmente interessati:
Tutti i modelli Keenetic con l'indice “KN”, rilasciati dal 2017 in poi, si basano su chipset Wi-Fi prodotti da Mediatek: MT7628, MT7603, MT7612, MT7613, MT7915, MT7916.

Versioni del firmware interessate:
Tutte le versioni di KeeneticOS fino alla 4.3.1 inclusa

Gravità:
La gravità è considerata media, in quanto l'aggressore deve trovarsi in stretta prossimità fisica del dispositivo di destinazione.

Soluzione:
KeeneticOS 4.3.2 include le correzioni necessarie per risolvere queste vulnerabilità. Questo aggiornamento si applica a tutti i modelli Keenetic interessati. Raccomandiamo vivamente agli utenti di aggiornare i propri dispositivi all'ultima versione di KeeneticOS disponibile online. Keenetic ha già iniziato a distribuire aggiornamenti automatici ai dispositivi che hanno l'opzione di aggiornamento automatico abilitata.

Keenetic provides this translation of the original English language document as a convenience to users. Please refer to English language document as legally binding.

ID avviso: KEN-PSA-2025-CS01
Gravità: Media
Stato: Risolto

Alla luce delle nuove informazioni scoperte, Keenetic Limited informa gli utenti dell'Applicazione mobile Keenetic che si sono registrati prima del 16 marzo 2023 che parte dei dati della loro applicazione mobile potrebbe essere stata compromessa a causa di un accesso non autorizzato al database.

La mattina del 15 marzo 2023, siamo stati informati da un ricercatore indipendente di sicurezza informatica sulla possibilità di un accesso non autorizzato al database dell'Applicazione mobile Keenetic. Dopo aver verificato la natura e la credibilità del rischio, abbiamo immediatamente risolto il problema nel pomeriggio del 15 marzo 2023. Il ricercatore di sicurezza informatica ci ha assicurato di non aver condiviso alcun dato con nessuno e di averlo distrutto. Da allora, non abbiamo avuto alcuna indicazione che il database fosse stato compromesso o che un utente fosse stato interessato fino alla fine di febbraio 2025.

Il 28 febbraio 2025, abbiamo appreso che alcune informazioni del database erano state divulgate a un organo di stampa indipendente. Pertanto, abbiamo stabilito che non possiamo più garantire che i dati siano stati distrutti correttamente e che alcune informazioni potrebbero ora essere al di fuori del nostro controllo.

Tuttavia, data la natura dei dati che potrebbero essere stati esposti, stimiamo che il rischio di attività fraudolente sia basso.

Era accessibile un numero limitato di campi del database: ID Keycloak, e-mail (login) e nomi degli account Keenetic, impostazioni locali; configurazioni degli account utente del dispositivo, inclusi gli hash delle password MD5 e NT; nomi KeenDNS personalizzati; configurazioni dell'interfaccia di rete, inclusi SSID Wi-Fi e chiavi pre-condivise; impostazioni del canale Wi-Fi, ID e chiavi di roaming; impostazioni dei criteri IP e di traffic shaping; indirizzi peer remoti, login e password dei client VPN, indirizzi IP assegnati; nomi e indirizzi MAC degli host registrati; configurazioni IPsec da sito a sito; configurazioni del server IP virtuale IPsec; impostazioni del pool DHCP; impostazioni NTP; liste di accesso IP e MAC.

Per quanto a nostra conoscenza, nessun altro dato è stato accessibile. In particolare, i dati RMM, i dati dell'account Keenetic, le chiavi private e le configurazioni dei tunnel VPN Wireguard e i dati OpenVPN non erano accessibili.

Keenetic non raccoglie, archivia o analizza dati su dettagli di carte di pagamento o credenziali correlate, dati transazionali, dettagli bancari o password bancarie. Pertanto, tali dati non sono interessati.

Raccomandiamo a questi utenti dell'applicazione mobile Keenetic di modificare le seguenti password e chiavi pre-condivise:

- Password dell'account utente del dispositivo Keenetic (link alle istruzioni);

- Password Wi-Fi (link alle istruzioni);

- Password/chiavi pre-condivise del client VPN per: PPTP/L2TP (link alle istruzioni), L2TP/IPSec (link alle istruzioni), IPSec da sito a sito (link alle istruzioni), SSTP (link alle istruzioni).

Crediamo fermamente che l'accesso non autorizzato sia avvenuto senza alcun intento fraudolento o dannoso e che le informazioni del database non siano disponibili al pubblico; ciononostante, è stata inviata una notifica appropriata all'autorità competente per la protezione dei dati.

Ci scusiamo per eventuali disagi e confermiamo che sono state intraprese tutte le azioni necessarie per prevenire una situazione simile in futuro.

Consideriamo la sicurezza la nostra massima priorità per fornire un ambiente protetto e controllabile al fine di salvaguardare le reti e i dati dei nostri utenti. Lavoriamo costantemente per migliorare il nostro sistema operativo, le applicazioni e l'infrastruttura cloud. Con aggiornamenti regolari, miglioriamo continuamente le prestazioni e la sicurezza affinché il nostro software rimanga aggiornato.

Per qualsiasi domanda, contatta il team di supporto tecnico.

Keenetic provides this translation of the original English language document as a convenience to users. Please refer to English language document as legally binding.

ID avviso: KEN-PSA-2024-ED01
CVE: CVE-2024-4021, CVE-2024-4022
Gravità: Bassa
Stato: Risolto in KeeneticOS 4.3 e versioni successive

Keenetic è stato notificato tempestivamente ed è pienamente consapevole delle vulnerabilità CVE-2024-4021 e CVE-2024-4022.

Dispositivi potenzialmente interessati:
- KN-1010
- KN-1410
- KN-1711
- KN-1810
- KN-1910

Versioni del firmware interessate:
Tutte le versioni di KeeneticOS fino alla 4.1.2.15 inclusa.

Chiarimento sulle vulnerabilità segnalate:
1. CVE-2024-4022 si riferisce a una segnalazione di divulgazione di informazioni destinate a essere disponibili pubblicamente. La visualizzazione del nome del modello e della versione del firmware nell'interfaccia web è una scelta progettuale e non è considerata una vulnerabilità. Il nome del modello è esplicitamente mostrato sull'interfaccia utente e la versione del firmware può essere facilmente approssimata a causa dei frequenti aggiornamenti, che modificano visibilmente l'interfaccia.
2. CVE-2024-4021 non consente l'accesso remoto, il controllo o la fuga di informazioni private dell'utente. Consente invece a un aggressore di identificare quali componenti software (ad es. WPA3-E, WireGuard, OpenVPN) sono installati sul router. È importante notare che questa vulnerabilità non indica se questi componenti sono attivi o abilitati. Inoltre, non rivela se un servizio specifico viene fornito esternamente (ad esempio, WireGuard potrebbe essere disponibile tramite port forwarding anziché installato sul router stesso). Dopo aver consultato un ricercatore di sicurezza indipendente di terze parti, Keenetic ha classificato questa vulnerabilità come divulgazione di informazioni a basso rischio. Ciò significa che non compromette direttamente il dispositivo o le informazioni dell'utente.

Gravità:
La gravità della divulgazione di informazioni eccessive sul dispositivo e il sistema operativo è considerata bassa.

Soluzione:
Data la natura a basso rischio di queste vulnerabilità, Keenetic risolverà questi problemi nel prossimo aggiornamento di KeeneticOS. Una correzione sarà inclusa nella versione 4.3 di KeeneticOS, il cui rilascio è previsto per la metà del 2025. Non è richiesto un aggiornamento urgente.

Keenetic provides this translation of the original English language document as a convenience to users. Please refer to English language document as legally binding.

ID avviso: KEN-PSA-2021-WD01
Gravità: Media
CVE: CVE-2020-24586, CVE-2020-24587, CVE-2020-24588, CVE-2020-26139, CVE-2020-26140, CVE-2020-26146, CVE-2020-26147
Stato: Risolto in KeeneticOS 3.6.6 e versioni successive

Keenetic è a conoscenza delle vulnerabilità di sicurezza Wi-Fi note come FragAttacks (attacchi di frammentazione e aggregazione). Informazioni dettagliate sono disponibili su https://www.fragattacks.com.

Sono state identificate le seguenti vulnerabilità:
- CVE-2020-24586
- CVE-2020-24587
- CVE-2020-24588
- CVE-2020-26139
- CVE-2020-26140
- CVE-2020-26146
- CVE-2020-26147

Dispositivi potenzialmente interessati:
Tutti i modelli Keenetic con l'indice “KN”, rilasciati dal 2017 in poi.

Versioni del firmware interessate:
Tutte le versioni di KeeneticOS fino alla 3.6.5 inclusa.

Gravità:
La gravità di FragAttacks è considerata media, con un impatto esteso su quasi tutti i dispositivi Wi-Fi dal 1997. Le vulnerabilità possono potenzialmente portare alla divulgazione di informazioni e all'escalation dei privilegi. Tuttavia, il loro sfruttamento non è semplice e richiede che l'aggressore si trovi in stretta prossimità fisica del dispositivo di destinazione.

Soluzione:
La versione 3.6.6 di KeeneticOS include le correzioni necessarie per risolvere queste vulnerabilità. Questo aggiornamento si applica a tutti i modelli Keenetic interessati. Raccomandiamo vivamente agli utenti di aggiornare i propri dispositivi all'ultima versione di KeeneticOS disponibile online. Keenetic ha già iniziato a distribuire aggiornamenti automatici ai dispositivi che hanno l'opzione di aggiornamento automatico abilitata.

Keenetic provides this translation of the original English language document as a convenience to users. Please refer to English language document as legally binding.