SEGURANÇA

Como é que a WHOOP gere as vulnerabilidades de segurança

Na WHOOP, a nossa missão é libertar o desempenho humano. Existimos para melhorar a vida dos nossos membros e não para a invadir. Como todas as empresas que fornecem dispositivos usáveis no corpo e prestam serviços de monitorização de saúde, a WHOOP gere dados pessoais e sensíveis dos seus membros. Levamos a privacidade a sério e estamos cientes de que temos a responsabilidade de proteger a privacidade dos dados dos nossos membros. Estamos cientes de que produtos seguros são fundamentais para manter a confiança que os membros depositam na WHOOP e empenhamo-nos em criar produtos inovadores que melhorem a vida dos nossos membros.

Este site fornece informações para investigadores e profissionais de segurança.

Se és membro WHOOP e estás a ter problemas com a segurança da tua conta, contacta os Serviços para Membros.

Comunicar problemas de segurança

A WHOOP aceita sem reservas relatórios de vulnerabilidade da plataforma e de produtos WHOOP. Se suspeitas ter detetado uma vulnerabilidade numa plataforma ou num produto WHOOP ou se tens de comunicar algum incidente de segurança, contacta-nos por correio eletrónico para security@whoop.com ou através do nosso formulário de divulgação de vulnerabilidades em https://www.whoop.com/security. Depois de recebermos a tua mensagem, iremos enviar uma resposta que inclui um identificador de seguimento. A WHOOP não irá desencadear qualquer ação judicial contra quem, de boa-fé, tenha submetido relatórios de vulnerabilidade através dos meios acima indicados.

Política de Divulgação de Vulnerabilidades da WHOOP

Na WHOOP acreditamos que a divulgação de vulnerabilidades é uma via de dois sentidos - tanto a WHOOP como os investigadores em matéria de segurança têm de agir responsavelmente. É por isso que a WHOOP observa um prazo de divulgação de 90 dias (o "Prazo"). Notificamos imediatamente os vendedores das vulnerabilidades, com detalhes partilhados em público com a comunidade defensiva após o Prazo, ou antes, se o vendedor lançar uma correção. Esse Prazo pode variar das seguintes formas:

  • Se o Prazo terminar num fim de semana ou feriado nos Estados Unidos, o Prazo é transferido para o dia útil seguinte.
  • Antes de o Prazo terminar, se um vendedor nos informar que está previsto o lançamento de uma correção numa data específica que irá situar-se nos 14 dias a seguir ao Prazo, iremos atrasar a divulgação pública até à disponibilização da correção.
  • Quando detetamos uma vulnerabilidade previamente desconhecida e não corrigida num software em exploração ativa (um "dia0"), consideramos que é adequada uma ação mais urgente - no prazo de 7 dias. A razão para esta designação especial é que a cada dia que uma vulnerabilidade ativamente explorada permanece não divulgada ao público e não corrigida, mais dispositivos ou contas serão comprometidos. Sete dias é um prazo agressivo e poderá ser demasiado curto para alguns vendedores atualizarem os seus produtos, mas deverá ser suficiente para publicar conselhos sobre possíveis atenuações, como desativar temporariamente o serviço, restringir o acesso ou contactar o vendedor para obter mais informações. Por conseguinte, decorridos 7 dias sem uma correção ou aviso, iremos ajudar os investigadores na disponibilização de informações a fim de os utilizadores tomarem medidas para se protegerem.
  • Como sempre, reservamo-nos o direito de prorrogar ou antecipar o Prazo com base em circunstâncias extremas. Continuamos empenhados em tratar todos os vendedores de forma rigorosamente igual. A WHOOP espera ser tratada do mesmo modo.

Esta política está alinhada com o nosso desejo de melhorar os tempos de resposta do setor às falhas de segurança, mas também resulta numa adaptação mais amenizada relativamente a falhas ligeiramente fora do Prazo. A WHOOP apela a todos os investigadores que adotem os prazos de divulgação de alguma forma e convida os investigadores de segurança a aplicar esta política, se a considerarem relevante. Exercer pressão no que respeita a correções com prazos razoáveis irá resultar em janelas de oportunidade mais pequenas para os piratas informáticos abusarem das vulnerabilidades. Na nossa opinião, políticas de divulgação de vulnerabilidades como as nossas resultam numa maior segurança generalizada para os utilizadores da Internet.