Política de Divulgação de Vulnerabilidades
Última atualização: 5 de setembro de 2019
A Kraken Security Labs realiza rotineiramente pesquisas sobre a segurança de aplicações, hardware e produtos de uso comum. A pesquisa é realizada para educar e proteger os utilizadores finais de tais serviços e produtos. Esta política descreve como a Kraken Security Labs lida com a divulgação responsável de vulnerabilidades quando descobrimos vulnerabilidades de segurança em produtos e serviços de terceiros.
A Kraken Security Labs notificará o fornecedor apropriado sobre uma falha de segurança nos seus produtos e/ou serviços. A primeira tentativa de contacto será através de quaisquer contactos apropriados ou mecanismos formais listados no website do fornecedor. Se tais informações de contacto não estiverem publicadas, a Kraken Security Labs fará o melhor esforço para localizar um meio de contacto apropriado. Uma vez encontrado um mecanismo de contacto formal ou apropriado, as informações pertinentes sobre a vulnerabilidade serão transmitidas de forma segura ao fornecedor.
Se o fornecedor não reconhecer a notificação inicial no prazo de cinco (5) dias úteis, a Kraken Security Labs iniciará um segundo contacto com o fornecedor. Se a Kraken Security Labs esgotar todos os meios acima para contactar o fornecedor, então a Kraken Security Labs poderá emitir um aviso público divulgando as suas descobertas quinze (15) dias úteis após a tentativa de contacto inicial.
Se for recebida uma resposta do fornecedor dentro do prazo acima descrito, a Kraken Security Labs solicita que o fornecedor especifique um prazo desejado para a remediação. A Kraken Security Labs concederá ao fornecedor até noventa (90) dias de calendário para resolver a vulnerabilidade com uma correção. No final do prazo ou mais cedo (se notificado pelo fornecedor), se a vulnerabilidade tiver sido corrigida, ou se o fornecedor não responder ou não conseguir fornecer uma declaração razoável sobre o motivo pelo qual a vulnerabilidade não foi corrigida, a Kraken Security Labs publicará um aviso disponível publicamente, incluindo recomendações de mitigação, num esforço para proteger os utilizadores finais.
A Kraken Security Labs fará todos os esforços para trabalhar com os fornecedores para garantir que compreendem os detalhes técnicos e a gravidade de uma falha de segurança reportada. Se um fornecedor de produtos não conseguir, ou optar por não corrigir uma falha de segurança específica, a Kraken Security Labs poderá oferecer-se para trabalhar com esse fornecedor para divulgar publicamente a falha com algumas soluções eficazes.
No caso de a Kraken Security considerar apropriado alertar imediatamente o público em geral sobre uma vulnerabilidade devido ao risco ou segurança para o utilizador final de um produto ou serviço, a Kraken Security Labs deverá aconselhar simultaneamente o fornecedor e o público em geral sobre as suas descobertas. Na comunicação ao fornecedor, a Kraken Security Labs deverá listar os fatores utilizados na decisão de publicar imediatamente as suas descobertas.