Politik for offentliggørelse af sårbarheder

Senest opdateret: 5. september 2019

Kraken Security Labs udfører rutinemæssigt forskning i sikkerheden af almindeligt anvendte applikationer, hardware og produkter. Forskningen udføres for at uddanne og beskytte slutbrugere af sådanne tjenester og produkter. Denne politik beskriver, hvordan Kraken Security Labs håndterer ansvarlig offentliggørelse af sårbarheder, når vi opdager sikkerhedssårbarheder i tredjepartsprodukter og -tjenester.

Kraken Security Labs vil underrette den relevante leverandør om en sikkerhedsbrist inden for deres produkt(er) og/eller tjeneste(r). Det første forsøg på kontakt vil ske via eventuelle relevante kontakter eller formelle mekanismer, der er angivet på leverandørens hjemmeside. Hvis sådanne kontaktoplysninger ikke er angivet, vil Kraken Security Labs gøre sit bedste for at finde et passende kontaktmedie. Når en formel eller passende kontaktmekanisme er fundet, vil de relevante oplysninger om sårbarheden blive sikkert overført til leverandøren.

Hvis leverandøren undlader at bekræfte den første meddelelse inden for fem (5) arbejdsdage, vil Kraken Security Labs indlede en anden kontakt til leverandøren. Hvis Kraken Security Labs udtømmer alle ovenstående midler for at kontakte leverandøren, kan Kraken Security Labs udstede en offentlig meddelelse, der afslører dets fund femten (15) arbejdsdage efter forsøget på første kontakt.

Hvis der modtages et svar fra leverandøren inden for den ovenfor skitserede tidsramme, anmoder Kraken Security Labs om, at leverandøren angiver en ønsket tidsramme for afhjælpning. Kraken Security Labs vil give leverandøren op til halvfems (90) kalenderdage til at afhjælpe sårbarheden med en patch. Ved udløbet af fristen eller tidligere (hvis underrettet af leverandøren), hvis sårbarheden er blevet patchet, eller hvis leverandøren ikke reagerer eller ikke er i stand til at give en rimelig forklaring på, hvorfor sårbarheden ikke er rettet, vil Kraken Security Labs offentliggøre en offentligt tilgængelig meddelelse, der inkluderer anbefalinger til afhjælpning i et forsøg på at beskytte slutbrugere.

Kraken Security Labs vil gøre alt for at samarbejde med leverandører for at sikre, at de forstår de tekniske detaljer og alvorligheden af en rapporteret sikkerhedsbrist. Hvis en produktleverandør ikke er i stand til, eller vælger ikke at, patche en bestemt sikkerhedsbrist, kan Kraken Security Labs tilbyde at samarbejde med den pågældende leverandør om offentligt at afsløre bristen med nogle effektive løsninger.

I tilfælde af at Kraken Security finder det passende straks at advare offentligheden om en sårbarhed på grund af risikoen eller sikkerheden for slutbrugeren af et produkt eller en tjeneste, skal Kraken Security Labs samtidig informere leverandøren og offentligheden om sine fund. I kommunikationen til leverandøren skal Kraken Security Labs angive de faktorer, der er brugt til at beslutte at offentliggøre sine fund med det samme.