Beleid inzake het openbaar maken van kwetsbaarheden

Laatst bijgewerkt: 5 september 2019

Kraken Security Labs voert routinematig onderzoek uit naar de beveiliging van veelgebruikte applicaties, hardware en producten. Het onderzoek wordt gedaan om eindgebruikers van dergelijke diensten en producten te onderwijzen en te beschermen. Dit beleid schetst hoe Kraken Security Labs verantwoord omgaat met het openbaar maken van kwetsbaarheden wanneer we kwetsbaarheden in de beveiliging ontdekken in producten en diensten van derden.

Kraken Security Labs zal de betreffende leverancier op de hoogte stellen van een beveiligingslek in hun product(en) en/of dienst(en). De eerste poging om contact op te nemen zal gebeuren via contactpersonen of formele mechanismen die op de website van de leverancier vermeld staan. Als dergelijke contactinformatie niet is vermeld, zal Kraken Security Labs zijn best doen om een geschikt contactmedium te vinden. Zodra een formeel of geschikt contactmechanisme is gevonden, zal de relevante informatie over de kwetsbaarheid veilig naar de leverancier worden verstuurd.

Als de leverancier de eerste melding niet binnen vijf (5) werkdagen bevestigt, neemt Kraken Security Labs een tweede keer contact op met de leverancier. Als Kraken Security Labs alle bovenstaande middelen heeft uitgeput om contact op te nemen met de leverancier, dan kan Kraken Security Labs vijftien (15) werkdagen na de poging tot eerste contact een openbare mededeling publiceren waarin de bevindingen worden openbaargemaakt.

Als een reactie van de leverancier wordt ontvangen binnen de hierboven vermelde termijn, verzoekt Kraken Security Labs de leverancier een gewenste termijn voor herstel op te geven. Kraken Security Labs zal de leverancier tot negentig (90) kalenderdagen de tijd geven om de kwetsbaarheid te verhelpen met een patch. Aan het einde van de deadline of eerder (indien gemeld door de leverancier), als de kwetsbaarheid is verholpen of als de leverancier niet reageert of niet in staat is om een redelijke verklaring te geven waarom de kwetsbaarheid niet is verholpen, zal Kraken Security Labs een openbaar mededeling publiceren met aanbevelingen voor het verhelpen van de kwetsbaarheid in een poging om eindgebruikers te beschermen.

Kraken Security Labs zal er alles aan doen om met leveranciers samen te werken om ervoor te zorgen dat ze de technische details en de ernst van een gemelde beveiligingsfout begrijpen. Als een levernacier van een product niet in staat is om een bepaald beveiligingslek te patchen of ervoor kiest om dit niet te doen, kan Kraken Security Labs aanbieden om met die leverancier samen te werken om het beveiligingslek openbaar te maken met een aantal effectieve omwegen.

In het geval dat Kraken Security het gepast vindt om het algemene publiek onmiddellijk te waarschuwen voor een kwetsbaarheid vanwege het risico of de beveiliging voor de eindgebruiker van een product of dienst, dan zal Kraken Security Labs tegelijkertijd de leverancier en het algemene publiek op de hoogte stellen van zijn bevindingen. In de communicatie naar de leverancier zal Kraken Security Labs de factoren opsommen die zijn gebruikt bij de beslissing om de bevindingen onmiddellijk te publiceren.