SEGURIDAD

Cómo maneja WHOOP las vulnerabilidades de seguridad

En WHOOP, nuestra misión es liberar el rendimiento humano. Existimos para mejorar la vida de nuestros miembros, no para invadir sus vidas. Como todas las empresas que proporcionan dispositivos portátiles y servicios de seguimiento de la salud, WHOOP administra los datos personales y confidenciales de nuestros miembros. Nos tomamos en serio la privacidad y entendemos que tenemos la responsabilidad de proteger la privacidad de los datos de nuestros miembros. Entendemos que los productos seguros son fundamentales para mantener la confianza que los miembros depositan en WHOOP, y nos esforzamos por crear productos innovadores que mejoren su vida.

Este centro ofrece información para investigadores y profesionales de la seguridad.

Política de divulgación de vulnerabilidades de WHOOP

En WHOOP creemos que la divulgación de vulnerabilidades es una situación de dos vías: tanto WHOOP como los investigadores de seguridad deben actuar con responsabilidad. Esta es la razón por la que WHOOP se rige por un plazo de divulgación de 90 días (el "Plazo"). Notificamos de inmediato las vulnerabilidades a los proveedores, y compartimos los detalles en público con la comunidad defensora una vez transcurrido el Plazo, o antes si el proveedor publica una solución. Ese Plazo puede variar de las siguientes maneras:

  • Si un plazo vence durante un fin de semana o un día festivo de Estados Unidos, el mismo se desplazará al siguiente día laborable normal.
  • Antes de que venza el Plazo, si un proveedor nos comunica que tiene previsto lanzar un parche en un día concreto que caerá dentro de los 14 días siguientes al Plazo, retrasaremos la divulgación pública hasta la disponibilidad del parche.
  • Cuando observamos una vulnerabilidad desconocida hasta el momento y sin parche en un software en explotación activa (un "0day"), creemos que es apropiado tomar medidas más urgentes, en un plazo de 7 días. La razón de esta designación especial es que cada día que una vulnerabilidad explotada activamente permanece sin revelar al público y sin parches, más dispositivos o cuentas se verán comprometidos. Siete días es un plazo agresivo y puede ser demasiado corto para que algunos proveedores actualicen sus productos, pero debería ser tiempo suficiente para publicar consejos sobre posibles mitigaciones, como desactivar temporalmente un servicio, restringir el acceso o ponerse en contacto con el proveedor para obtener más información. En consecuencia, una vez transcurridos 7 días sin que se haya publicado un parche o un aviso, apoyaremos a los investigadores que faciliten detalles para que los usuarios puedan tomar medidas para protegerse.

Como siempre, nos reservamos el derecho de adelantar o retrasar la fecha límite en función de circunstancias extremas. Mantenemos nuestro compromiso de tratar a todos los proveedores con estricta igualdad. WHOOP espera que se le apliquen las mismas normas.

Esta política se ajusta a nuestro deseo de mejorar los tiempos de respuesta de la industria a las fallas de seguridad, pero también da lugar a un menor impacto de las fallas que superan ligeramente los plazos. WHOOP hace un llamamiento a todos los investigadores de seguridad para que adopten los plazos de divulgación de alguna forma, y da la bienvenida a los investigadores de seguridad para que utilicen esta política si encuentran convincente la nuestra. Si se presiona para que las correcciones se realicen en un plazo razonable, se reducirán las ventanas de oportunidad para que los piratas informáticos abusen de las vulnerabilidades. En nuestra opinión, políticas de divulgación de vulnerabilidades como la nuestra redundan en una mayor seguridad general para los usuarios de Internet.