SICUREZZA

Gestione delle vulnerabilità da parte di WHOOP

La mission di WHOOP è lavorare sulle prestazioni fisiche. Il nostro scopo è migliorare la vita dei nostri membri, senza invaderla. Come tutte le aziende che offrono dispositivi indossabili e servizi di monitoraggio della salute, WHOOP gestisce dati personali e sensibili dei propri membri. Prendiamo la riservatezza seriamente, e sappiamo bene di avere la responsabilità di proteggere la riservatezza dei dati dei nostri membri. Sappiamo che offrire prodotti sicuri è fondamentale per mantenere la fiducia che i membri ripongono in WHOOP, e puntiamo a creare prodotti innovativi che migliorino la loro vita.

Questo sito fornisce informazioni destinate a ricercatori e professionisti della sicurezza.

Se sei un membro WHOOP e hai un problema di sicurezza legato al tuo account, contatta l'Assistenza per gli abbonamenti.

Segnalare problemi di sicurezza

WHOOP accetta apertamente segnalazioni sulla vulnerabilità dei prodotti e della piattaforma WHOOP. Se ritieni di aver scoperto una vulnerabilità in un prodotto o nella piattaforma WHOOP, o se vuoi segnalare un incidente di sicurezza, contattaci via email all'indirizzo security@whoop.com o tramite il nostro modulo di divulgazione delle vulnerabilità all'indirizzo https://www.whoop.com/security. Alla ricezione del messaggio, ti invieremo una risposta, che includerà un tracker identificativo. WHOOP non intraprenderà azioni legali contro gli individui che, in buona fede, inviano segnalazioni sulla vulnerabilità tramite i metodi sopra indicati.

Politica di divulgazione delle vulnerabilità di WHOOP

WHOOP ritiene che la divulgazione delle vulnerabilità vada attuata in entrambi i sensi: sia WHOOP che i ricercatori devono agire responsabilmente. Ecco perché WHOOP accetta una scadenza di 90 giorni in merito alle divulgazioni (la “Scadenza”). Inviamo immediatamente comunicazioni sulle vulnerabilità ai nostri fornitori; ulteriori dettagli vengono condivisi in pubblico con la community impegnata nella difesa dopo la Scadenza, o prima se il fornitore rilascia una soluzione. La Scadenza può variare nei seguenti modi:

  • Se una Scadenza viene raggiunta durante un weekend o una festività pubblica negli Stati Uniti, la Scadenza verrà spostata al primo giorno lavorativo successivo.
  • Se una Scadenza viene raggiunta durante un weekend o una festività pubblica negli Stati Uniti, la Scadenza verrà spostata al primo giorno lavorativo successivo.
  • Qualora osservassimo all'interno del software una vulnerabilità, precedentemente sconosciuta o non ancora risolta tramite una patch, che è presente (caso “0day”), riteniamo che sia necessario intraprendere azioni più urgenti entro 7 giorni. Il motivo di questa particolare designazione è che, per ogni giorno in cui una vulnerabilità attualmente presente non viene indicata al pubblico, né risolta da patch, più dispositivi e account verranno compromessi. Sette giorni rappresentano una tempistica molto rapida, che potrebbe essere troppo breve per consentire ad alcuni fornitori di aggiornare i propri prodotti, ma dovrà essere sufficiente per consentire di pubblicare consigli su possibili rimedi, come la temporanea disattivazione di un servizio, la limitazione degli accessi, o la possibilità di contattare il fornitore per maggiori informazioni. Di conseguenza, dopo che saranno trascorsi 7 giorni senza patch né consigli, supporteremo i ricercatori che rendono disponibili i dettagli così che gli utenti possano agire per proteggersi.
  • Come sempre, ci riserviamo il diritto di spostare la Scadenza, anticipandola o posticipandola, in caso di circostanze estreme. Poniamo il massimo impegno nel trattare allo stesso modo tutti i fornitori. WHOOP si aspetta di essere rispettata allo stesso modo.

La presente politica è in linea con il nostro desiderio di migliorare i tempi di risposta del settore relativi ai bug di sicurezza, ma consente ai bug risolti poco dopo il termine della Scadenza di essere trattati senza troppa enfasi. WHOOP esorta tutti i ricercatori in ambito di sicurezza ad adottare scadenze in materia di divulgazione di qualche tipo e li invita a utilizzare la presente politica se la ritengono adeguata. Creare pressioni affinché siano implementate soluzioni in tempi ragionevoli determinerà finestre di opportunità più brevi per consentire ai blackhat di abusare delle vulnerabilità. A nostro parere, politiche di divulgazione delle vulnerabilità come la nostra danno vita a una maggiore sicurezza complessiva per gli utenti su Internet.