Come funziona la divulgazione responsabile, una volta che il venditore dice che non è un bug di sicurezza?

9

Ho identificato un bug del software in una piattaforma, uno che causa la fuoriuscita di informazioni potenzialmente personali in situazioni in cui uno sviluppatore di app su quella piattaforma potrebbe non aspettarsi tale perdita. Non è qualcosa che è particolarmente facile da sfruttare, ma è certamente possibile. È piuttosto complicato da risolvere per uno sviluppatore di app, ma ho qualche codice di proof-of-concept che aiuta a risolvere il problema, almeno in alcuni scenari.

Ho presentato una segnalazione di sicurezza con il fornitore della piattaforma. Dopo aver inizialmente convenuto che si tratta di un bug di sicurezza (severità "moderata"), ora sono tornati e hanno dichiarato "questo funziona attualmente come previsto" e "abbiamo determinato che non c'è un impatto sulla sicurezza". Sono trascorsi 10 giorni dalla presentazione del rapporto e le loro linee guida richiedono un calendario di divulgazione responsabile di 90 giorni.

Considerata la risposta "che funziona come previsto" / "non è un impatto sulla sicurezza", sono obbligato a continuare a sedermi su questo per i restanti 80 giorni? O posso iniziare a consigliare gli sviluppatori interessati su come aggirare questo bug?

    
posta CommonsWare 31.05.2016 - 23:47
fonte

1 risposta

6

Non sei "obbligato" a seguire una tale pratica. Non seguirli potrebbe semplicemente significare che non sarai idoneo per alcune chicche. O che non possono fornire correttamente una correzione.

Per quanto riguarda la divulgazione stessa, sarebbe etico, secondo me, non aspettare i restanti 80 giorni.

C'è un caso notorio di un ricercatore della sicurezza che ha usato il suo non-bug su Facebook per postare sul muro di Mark Zuckenberg (e Facebook lo ha "sorprendentemente" trattato come se stesse sfruttando un bug).

Vorrei raccomandare di chiedere nuovamente, in modo da ottenere una dichiarazione esplicita da parte loro che non sono interessati alla divulgazione della divulgazione. In alternativa, puoi anche dire loro che ritieni che non sia più e quindi lo rivelerai ad es. 1-2 giorni dal tuo messaggio, a meno che non ti dica diversamente.

Non è così raro che alcune vulnerabilità siano inizialmente triaged come non-bug, ma in seguito riesaminate dopo averle meglio comprese. Potresti insistere nel cercare di convincerli. In tal caso, devi attendere prima di passare alla fase "Lo scoprirò ora".

    
risposta data 01.06.2016 - 01:00
fonte

Leggi altre domande sui tag