Kraken

Politica di divulgazione della vulnerabilità

ultimo aggiornamento: 5 settembre 2019

Kraken Security Labs conduce abitualmente ricerche sulla sicurezza di applicazioni, hardware e prodotti di uso comune. La ricerca è fatta per educare e proteggere gli utenti finali di tali servizi e prodotti. Questa politica delinea come Kraken Security Labs gestisce la divulgazione responsabile delle vulnerabilità quando scopriamo vulnerabilità di sicurezza in prodotti e servizi di terze parti.

Kraken Security Labs notificherà al fornitore appropriato di una falla di sicurezza all'interno dei loro prodotti e/o servizi. Il primo tentativo di contatto avverrà attraverso tutti i contatti appropriati o i meccanismi formali elencati sul sito web del fornitore. Se tali informazioni di contatto non vengono pubblicate, Kraken Security Labs farà del suo meglio per trovare un mezzo di contatto appropriato. Una volta trovato un meccanismo di contatto formale o appropriato, le informazioni pertinenti sulla vulnerabilità saranno trasmesse in modo sicuro al fornitore.

Se il fornitore non riconosce la notifica iniziale entro cinque (5) giorni lavorativi, Kraken Security Labs avvierà un secondo contatto con il fornitore. Se Kraken Security Labs esaurisce tutti i mezzi di cui sopra per contattare il fornitore, Kraken Security Labs può emettere un avviso pubblico rivelando le sue conclusioni quindici (15) giorni lavorativi dopo il tentativo di contatto iniziale.

Se una risposta del fornitore viene ricevuta entro il periodo di tempo sopra indicato, Kraken Security Labs richiede che il fornitore specifichi il periodo di tempo desiderato per la riparazione. Kraken Security Labs consentirà al fornitore fino a novanta (90) giorni di calendario per affrontare la vulnerabilità con una patch. Alla fine della scadenza o prima (se notificato dal fornitore), se la vulnerabilità è stata corretta, o se il fornitore non è reattivo o non è in grado di fornire una dichiarazione ragionevole sul perché la vulnerabilità non è corretta, Kraken Security Labs pubblicherà un avviso di pubblica utilità che include raccomandazioni di mitigazione nel tentativo di proteggere gli utenti finali.

Kraken Security Labs farà ogni sforzo per lavorare con i fornitori per assicurarsi di comprendere i dettagli tecnici e la gravità di una falla di sicurezza segnalata. Se un fornitore di prodotti non è in grado, o sceglie di non farlo, di correggere una particolare falla di sicurezza, Kraken Security Labs può offrire di lavorare con quel fornitore per rivelare pubblicamente la falla con alcune soluzioni efficaci.

Nel caso in cui Kraken Security ritenga opportuno avvisare immediatamente il pubblico di una vulnerabilità dovuta al rischio o alla sicurezza per l'utente finale di un prodotto o servizio, Kraken Security Labs informerà contemporaneamente il fornitore e il pubblico in generale delle sue conclusioni. Nella comunicazione al fornitore, Kraken Security Labs elenca i fattori utilizzati per decidere di pubblicare immediatamente le proprie conclusioni.