Ho identificato un bug del software in una piattaforma, uno che causa la fuoriuscita di informazioni potenzialmente personali in situazioni in cui uno sviluppatore di app su quella piattaforma potrebbe non aspettarsi tale perdita. Non è qualcosa che è particolarmente facile da sfruttare, ma è certamente possibile. È piuttosto complicato da risolvere per uno sviluppatore di app, ma ho qualche codice di proof-of-concept che aiuta a risolvere il problema, almeno in alcuni scenari.
Ho presentato una segnalazione di sicurezza con il fornitore della piattaforma. Dopo aver inizialmente convenuto che si tratta di un bug di sicurezza (severità "moderata"), ora sono tornati e hanno dichiarato "questo funziona attualmente come previsto" e "abbiamo determinato che non c'è un impatto sulla sicurezza". Sono trascorsi 10 giorni dalla presentazione del rapporto e le loro linee guida richiedono un calendario di divulgazione responsabile di 90 giorni.
Considerata la risposta "che funziona come previsto" / "non è un impatto sulla sicurezza", sono obbligato a continuare a sedermi su questo per i restanti 80 giorni? O posso iniziare a consigliare gli sviluppatori interessati su come aggirare questo bug?