Ultimo aggiornamento: 5 settembre 2019
Kraken Security Labs conduce regolarmente ricerche sulla sicurezza di applicazioni, hardware e prodotti comunemente utilizzati. Lo scopo è educare e proteggere gli utenti finali di tali servizi e prodotti. Questa politica illustra come Kraken Security Labs gestisce la divulgazione responsabile delle vulnerabilità quando scopre vulnerabilità di sicurezza in prodotti e servizi di terze parti.
Kraken Security Labs informerà il fornitore appropriato di una falla di sicurezza nei suoi prodotti e/o servizi. Il primo tentativo di interazione avverrà attraverso i contatti o i meccanismi formali indicati sul sito web del fornitore. Se tali informazioni di contatto non sono pubblicate, Kraken Security Labs farà il possibile per individuare un mezzo di contatto appropriato. Una volta individuato un meccanismo di contatto formale o appropriato, le informazioni pertinenti sulla vulnerabilità saranno trasmesse in modo sicuro al fornitore.
Se questo non riceve la notifica iniziale entro cinque (5) giorni lavorativi, Kraken Security Labs avvierà un secondo contatto. Se Kraken Security Labs esaurisce tutti i mezzi di cui sopra per contattare il fornitore, può pubblicare un avviso pubblico per divulgare le sue scoperte quindici (15) giorni lavorativi dopo il tentativo di contatto iniziale.
Se il fornitore riceve una risposta entro i tempi indicati sopra, Kraken Security Labs chiede al fornitore di specificare i tempi desiderati per la correzione. Kraken Security Labs concederà al fornitore fino a novanta (90) giorni di calendario per risolvere la vulnerabilità con una patch. Alla scadenza del termine o prima (se si riceve una notifica dal fornitore), se la vulnerabilità è stata risolta con una patch o se il fornitore non risponde o non è in grado di fornire una dichiarazione ragionevole sul motivo per cui la vulnerabilità non è stata risolta, Kraken Security Labs pubblicherà un avviso pubblico che includa raccomandazioni di mitigazione nel tentativo di proteggere gli utenti finali.
Kraken Security Labs farà il possibile per collaborare con i venditori per assicurarsi che comprendano i dettagli tecnici e la gravità di una falla di sicurezza segnalata. Se il fornitore di un prodotto non è in grado di applicare una patch a una particolare falla di sicurezza o sceglie di non farlo, Kraken Security Labs può offrire la possibilità di collaborare con il fornitore per divulgare pubblicamente la falla con alcune soluzioni efficaci.
Nel caso in cui Kraken Security ritenga opportuno avvisare immediatamente il pubblico di una vulnerabilità a causa del rischio o della sicurezza per l'utente finale di un prodotto o di un servizio, Kraken Security Labs informerà simultaneamente il fornitore e il pubblico delle sue scoperte. Nella comunicazione al fornitore, Kraken Security Labs indicherà i fattori utilizzati per decidere di pubblicare immediatamente i risultati.