Divulgación responsable: la compañía está dedicada a la seguridad pero no responde

Question

Divulgación responsable: la compañía está dedicada a la seguridad pero no responde

#1 de Nathaniel Suchy (1 votos)
#2 de Trickycm (0 votos)
#3 de Adam Shostack (0 votos)

5

Contexto: recientemente encontré una vulnerabilidad en una aplicación web para una gran empresa. Tienen una política completa sobre divulgación responsable que seguí para evitar problemas legales.
La empresa se compromete a responder dentro de un período de tiempo (en este caso, dos semanas). Sin embargo, ese período ha finalizado y no he recibido ninguna respuesta, ni siquiera un reconocimiento de que saben que existe el problema.

¿Cómo debo manejar esto?

Hay otras preguntas como esta, pero a menudo sobre la divulgación a una compañía sin una política.

disclosure

pregunta Str-Gen 20.02.2017 - 13:33

fuente

3 respuestas

Lea otras preguntas en las etiquetas disclosure

¿Cómo uso CORS correctamente con OpenID Connect? ¿Hay alguna forma de analizar la memoria dinámicamente?

score 1 · Answer 1

Muchas compañías no reconocen ni discuten un problema de seguridad (incluso con el investigador) hasta que se ha lanzado un parche y la mayoría de los usuarios se han actualizado (Apple es un buen ejemplo de esto). Es posible que algunas compañías le envíen un correo electrónico para agradecerle su informe pero no reconocerlo más hasta que se lance el parche. La divulgación pública rara vez es una buena idea debido al riesgo de que se inicien acciones legales en su contra. Si fuera usted, seguiría esperando y si pasan más de unas pocas semanas sin un parche que solucione el problema, contáctelos una y otra vez. En algún momento, es de esperar que sea reparado. Buena suerte con la solución de esta vulnerabilidad y gracias por la divulgación responsable.

score 0 · Answer 2

Documentar completamente y rastrear en papel todas las comunicaciones. Pruebe al menos 3 medios diferentes para ponerse en contacto: correo electrónico, redes sociales, llamadas telefónicas, informándoles que desea revelar un problema de seguridad pero sin darles todos los detalles en esa etapa.

Tenga los nombres y detalles de cualquier persona que logre obtener una retención en su informe.

Si aún no le responden o le dan la resolución que necesita, tiene toda la evidencia adicional de que sigue las mejores prácticas y trata de resolver esto de manera responsable.

score 0 · Answer 3

Si no ha recibido una respuesta a pesar de su política de reconocimiento, puede ser que un filtro de spam se comiera su mensaje. Puede ser útil buscar una forma alternativa de llamar su atención sobre el mensaje.

Es poco probable que llamar a una línea telefónica general no lo lleve a ningún lado. ¿Tiene la empresa una presencia de seguridad en Twitter (por ejemplo, @msftsecurity) o empleados con perfiles relativamente públicos en Linkedin a los que puede contactar?

Además, hubo al menos un caso en el que alguien dirigió un correo electrónico a secyre @ microsoft (o algún tipo de error). ¿Está seguro de que ha enviado a la dirección correcta?