Mientras participaba en un programa de recompensas de errores, me topé con un problema que provocaba una vulnerabilidad de seguridad cuando se explotaba con otros problemas en productos no relacionados.
Todos esos problemas no son vulnerabilidades de seguridad per se, pero se convierten en una sola cuando se combinan. Ninguno de los problemas es más crítico que los demás.
Me gustaría que se corrigiera esa vulnerabilidad, por lo que planeo informarla a los proveedores.
Siguiendo las pautas de divulgación responsable, cada informe no debe contener información sobre los problemas de los otros proveedores, pero me temo que todos los proveedores rechazarán el informe, explicando que su problema es el comportamiento esperado.
Cada proveedor tiene un programa de seguridad y un equipo de seguridad competente. El único problema es comunicar el impacto de los problemas a cada uno de ellos.
¿Cuál sería la mejor manera de manejar este problema?