He identificado un error de software en una plataforma, uno que causa la fuga de información posiblemente privada en situaciones en las que un desarrollador de aplicaciones en esa plataforma podría no esperar tal fuga. No es algo que sea especialmente fácil de explotar, pero ciertamente es posible. Es un tanto complicado para un desarrollador de aplicaciones solucionarlo, pero tengo un código de prueba de concepto que ayuda a resolver el problema, al menos en algunos escenarios.
Presenté un informe de error de seguridad con el proveedor de la plataforma. Después de aceptar inicialmente que se trata de un error de seguridad (gravedad "moderada"), ahora han regresado y han declarado que "esto funciona actualmente como estaba previsto" y "hemos determinado que no hay un impacto en la seguridad". Esto fue 10 días después de la presentación del informe, y sus pautas solicitan un calendario de divulgación responsable de 90 días.
Dado que su respuesta de "trabajar según lo previsto" / "no es un impacto de seguridad", ¿tengo la obligación de continuar en esto durante los 80 días restantes? ¿O puedo comenzar a asesorar a los desarrolladores afectados sobre cómo solucionar este error?