Dropbox actualiza su política de divulgación de vulnerabilidades

Dropbox, la conocida compañía de almacenamiento en la nube, ha actualizado su política de divulgación de vulnerabilidades el miércoles de esta semana. Las intenciones son aclarar la relación con los investigadores y establecer un estándar para el el resto de las tecnológicas.

Dropbox ha explicado que este movimiento es una respuesta a décadas de abusos, amenazas y acoso contra los investigadores de seguridad que encuentran fallos en el software comercial. Aunque no lo parezca, en este campo las denuncias son frecuentes, y muchas veces los periodistas y los investigadores tradicionales se ven envueltos en luchas por divulgar las vulnerabilidades. Un caso conocido es la demanda por difamación presentada por Keeper Security contra Dan Goodin, editor de Ars Technica especializado en seguridad, por un artículo en el que describía los fallos del gestor de contraseñas Keeper.

La nueva política de divulgación ha sido aprobada en parte gracias Amit Elazari, candidato al doctorado en Derecho de la Universidad de Berkeley, en California. Esta persona ha estado intentando convencer a las tecnológicas para que modificaran su política de divulgación, y al parecer, ha convencido a la compañía de almacenamiento en la nube para que amplíe la suya, haciendo que se incluya una cláusula prometiendo no presentar ninguna denuncia mediante la DMCA contra los participantes de buena fe de los programas de recompensas.

Como ya hemos dicho, Dropbox no solo pretende aplicar este cambio de cara a sí misma, sino también que sirva como ejemplo para la industria. La nueva política de divulgación contiene los siguientes elementos:

1. Una declaración de que la investigación de seguridad externa es bienvenida.
2. Un compromiso de no iniciar acciones legales contra las investigaciones de seguridad realizadas en conformidad con la política, incluidas las infracciones accidentales de buena fe.
3. Una declaración clara de que consideramos que las acciones consistentes con la política constituyen una conducta “autorizada” en virtud de la Ley de Fraude y Abuso Informático (CFAA).
4. Un compromiso de que no llevaremos una acción mediante la Ley de Derechos de Autor de la Era Digital (DCMA) contra un investigador por una investigación consistente con la política.
5. Un compromiso de que si un tercero inicia una acción legal, Dropbox dejará claro cuándo un investigador actuó de conformidad con la política (y, por lo tanto, autorizado por nosotros).
6. Una nota específica de que no negociamos recompensas bajo coacción (si encuentra algo, avísenos inmediatamente sin condiciones).
7. Instrucciones específicas sobre lo que un investigador debería hacer si accidentalmente encuentra datos que no pertenecen a ellos mismos.
8. Una solicitud para darnos un tiempo razonable para solucionar un problema antes de hacerlo público. No nos reservamos el derecho de demorarnos para solucionar un problema de seguridad y no debemos hacerlo.

La nueva política de divulgación de Dropbox ha recibido una respuesta positiva por parte de los medios. Veremos si otros siguen los pasos.

Fuente: CyberScoop