¿Cómo funciona la divulgación responsable, una vez que el proveedor dice que no es un error de seguridad?

9

He identificado un error de software en una plataforma, uno que causa la fuga de información posiblemente privada en situaciones en las que un desarrollador de aplicaciones en esa plataforma podría no esperar tal fuga. No es algo que sea especialmente fácil de explotar, pero ciertamente es posible. Es un tanto complicado para un desarrollador de aplicaciones solucionarlo, pero tengo un código de prueba de concepto que ayuda a resolver el problema, al menos en algunos escenarios.

Presenté un informe de error de seguridad con el proveedor de la plataforma. Después de aceptar inicialmente que se trata de un error de seguridad (gravedad "moderada"), ahora han regresado y han declarado que "esto funciona actualmente como estaba previsto" y "hemos determinado que no hay un impacto en la seguridad". Esto fue 10 días después de la presentación del informe, y sus pautas solicitan un calendario de divulgación responsable de 90 días.

Dado que su respuesta de "trabajar según lo previsto" / "no es un impacto de seguridad", ¿tengo la obligación de continuar en esto durante los 80 días restantes? ¿O puedo comenzar a asesorar a los desarrolladores afectados sobre cómo solucionar este error?

    
pregunta CommonsWare 31.05.2016 - 23:47
fuente

1 respuesta

6

Usted no está "obligado" a seguir ninguna de estas prácticas. No seguirlos puede significar simplemente que no serás elegible para algunas golosinas. O que no pueden proporcionar una solución correctamente.

En cuanto a la divulgación en sí, sería ético en mi opinión no esperar los 80 días restantes.

Hay un caso notorio de un investigador de seguridad que usó su not-a-bug en Facebook para publicar en el muro de Mark Zuckenberg (y Facebook "sorprendentemente" lo trató como si estuviera explotando un error).

Recomendaría volver a preguntar, para que obtenga una declaración explícita de su parte de que no están interesados en que la divulgación esté sujeta a embargo. Como alternativa, también puede decirles que considera que ya no está y así lo divulgará en, por ejemplo. 1-2 días después de su mensaje, a menos que le indiquen lo contrario.

No es tan infrecuente que algunas vulnerabilidades se traten inicialmente como no-bugs pero luego se vuelvan a evaluar después de que lo comprendan mejor. Puedes insistir en tratar de convencerlos. En cuyo caso, debe esperar antes de pasar a la fase "Lo revelaré ahora".

    
respondido por el Ángel 01.06.2016 - 01:00
fuente

Lea otras preguntas en las etiquetas