Kraken

Política de Divulgação de Vulnerabilidades

Última atualização: 5 de setembro de 2019

A Kraken Security Labs realiza rotineiramente pesquisas sobre a segurança de aplicativos, hardware e produtos comumente usados. A pesquisa é feita para educar e proteger os usuários finais desses serviços e produtos. Esta política descreve como a Kraken Security Labs lida com a divulgação responsável de vulnerabilidades quando descobrimos vulnerabilidades de segurança em produtos e serviços de terceiros.

A Kraken Security Labs notificará o fornecedor apropriado sobre uma falha de segurança em seus produto(s) e/ou serviço(s). A primeira tentativa de contato será através de contatos apropriados ou mecanismos formais listados no site do fornecedor. Se essas informações de contato não forem publicadas, a Kraken Security Labs fará o possível para localizar um meio de contato apropriado. Depois que um mecanismo de contato formal ou apropriado for encontrado, as informações pertinentes sobre a vulnerabilidade serão transmitidas com segurança ao fornecedor.

Se o fornecedor não confirmar a notificação inicial dentro de cinco (5) dias úteis, a Kraken Security Labs iniciará um segundo contato com o fornecedor. Se a Kraken Security Labs esgotar todos os meios acima para entrar em contato com o fornecedor, a Kraken Security Labs poderá emitir um comunicado público divulgando suas descobertas quinze (15) dias úteis após a tentativa de contato inicial.

Se uma resposta do fornecedor for recebida dentro do prazo descrito acima, a Kraken Security Labs solicitará que o fornecedor especifique um prazo desejado para correção. A Kraken Security Labs permitirá ao fornecedor até 90 (noventa) dias corridos para solucionar a vulnerabilidade com um patch. No final do prazo final ou mais cedo (se notificado pelo fornecedor), se a vulnerabilidade tiver sido corrigida ou se o fornecedor não for responsivo ou incapaz de fornecer uma declaração razoável sobre por que a vulnerabilidade não foi corrigida, a Kraken Security Labs irá publicar um comunicado publicamente disponível, incluindo recomendações de mitigação, em um esforço para proteger os usuários finais.

A Kraken Security Labs fará todos os esforços para trabalhar com os fornecedores para garantir que eles entendam os detalhes técnicos e a gravidade de uma falha de segurança reportada. Caso um fornecedor não possa corrigir ou opte por não corrigir uma falha de segurança específica, a Kraken Security Labs pode oferecer trabalhar juntamente com esse fornecedor para divulgar publicamente a falha com algumas soluções eficazes.

Caso a Kraken Security considere oportuno alertar imediatamente o público em geral sobre uma vulnerabilidade devido ao risco ou segurança para o usuário final de um produto ou serviço, a Kraken Security Labs deve aconselhar simultaneamente o fornecedor e o público em geral sobre suas descobertas. Em comunicação com o fornecedor, a Kraken Security Labs deve listar os fatores usados na decisão de publicar imediatamente suas descobertas.