Paano kung hindi tumugon ang apektadong vendor?

Marahil ay ayaw kilalanin ng vendor ang isyu o wala silang isang bug bounty program.

Gaano katagal ang dapat ibigay sa vendor para ayusin ang isyu?

Ang ilang mga isyu sa seguridad ay hindi madaling ayusin at ang mga vendor ay madalas gustong unahin ang mga bagong feature sa halip na ayusin ang mga problema.

Sakaling ihayag ng mananaliksik ang isyu sa publiko at kung gayon, kelan?

Ang bawat white-hat hacker ay nababahala sa isyu na kanilang nakita na alam na at sinasamantala ng masasamang tao. Bawat sandalina ang vendor ay hindi nagpakawala ng fix ay sandali na ang publiko ay nasa dilim at hindi armado ng kaalaman para protektahan ang sarili nila. Ang Public disclosure lang ang tanging leverage na kailangang i-pressure ng mananaliksik sa isang vendor para ayusin ang isyu.

Pagbibigay-kahulugan sa Kalubhaan

Karaniwang nabibigyan ang mga kahinaan sa seguridad ng saklaw ng kalubhaan mula sa Mababa hanggang sa Kritikal, ngunit hindi lahat ng mga kahinaan na isiniwalat ng Kraken Security Labs o iba pang mga mananaliksik ay Kritikal. 

Gayunpaman, naniniwala kaming mahalaga na mailantad ang mga kamalian na ito.

Kahit na mababa, katamtaman at mataas na kahinaan ay maaaring magamit ng isang umaatake sa isang coordinated na paraan upang magresulta sa isang malaking epekto sa target na aparato.

Compounding Benefits

Releasing these findings can power additional work. 

It’s common for security researchers to build upon the work of others, to release issues that should be fixed but don’t allow full compromise and to release research that the vendor doesn’t immediately think is worth fixing. 

Because of this, it would not be responsible for a security researcher to remain quiet because they did not find an issue of Critical severity. 

We strive to put out disclosures that are as understandable and transparent as possible to the public, so that you can make informed choices as to the severity of the issue.