Policy för sårbarhetsrapportering

Senast uppdaterad: 5 september 2019

Kraken Security Labs genomför rutinmässigt forskning om säkerheten i vanligt förekommande applikationer, hårdvara och produkter. Forskningen utförs för att utbilda och skydda slutanvändare av sådana tjänster och produkter. Denna policy beskriver hur Kraken Security Labs hanterar ansvarsfull sårbarhetsrapportering när vi upptäcker säkerhetssårbarheter i tredjepartsprodukter och -tjänster.

Kraken Security Labs kommer att meddela lämplig leverantör om en säkerhetsbrist i deras produkt(er) och/eller tjänst(er). Det första kontaktförsöket sker via lämpliga kontaktuppgifter eller formella kanaler som anges på leverantörens webbplats. Om sådan kontaktinformation inte finns publicerad kommer Kraken Security Labs att göra sitt bästa för att hitta en lämplig kontaktväg. När en formell eller lämplig kontaktkanal har hittats kommer relevant information om sårbarheten att överföras säkert till leverantören.

Om leverantören inte bekräftar den första anmälan inom fem (5) arbetsdagar kommer Kraken Security Labs att initiera en andra kontakt med leverantören. Om Kraken Security Labs uttömt alla ovanstående möjligheter att kontakta leverantören kan Kraken Security Labs utfärda ett offentligt säkerhetsmeddelande där resultaten redovisas femton (15) arbetsdagar efter det första kontaktförsöket.

Om ett svar från leverantören tas emot inom den tidsram som anges ovan, begär Kraken Security Labs att leverantören anger en önskad tidsram för åtgärd. Kraken Security Labs ger leverantören upp till nittio (90) kalenderdagar på sig att åtgärda sårbarheten med en patch. Vid tidsfristens utgång eller tidigare (om leverantören meddelat detta), om sårbarheten har åtgärdats, eller om leverantören inte svarar eller inte kan ge en rimlig förklaring till varför sårbarheten inte har åtgärdats, kommer Kraken Security Labs att publicera ett offentligt tillgängligt säkerhetsmeddelande inklusive rekommendationer för begränsningsåtgärder i ett försök att skydda slutanvändare.

Kraken Security Labs kommer att göra allt för att samarbeta med leverantörer för att säkerställa att de förstår de tekniska detaljerna och allvarlighetsgraden i en rapporterad säkerhetsbrist. Om en produktleverantör inte kan, eller väljer att inte, åtgärda en viss säkerhetsbrist, kan Kraken Security Labs erbjuda sig att samarbeta med leverantören för att offentligt avslöja bristen tillsammans med effektiva kringgåenden.

I händelse av att Kraken Security anser att det är lämpligt att omedelbart varna allmänheten om en sårbarhet på grund av risken eller säkerheten för slutanvändaren av en produkt eller tjänst, ska Kraken Security Labs samtidigt informera leverantören och allmänheten om sina resultat. I kommunikationen till leverantören ska Kraken Security Labs lista de faktorer som legat till grund för beslutet att omedelbart publicera resultaten.