Valkohattuhakkeri ilmoittaa haavoittuvuudesta

Tuntemattoman nimimerkin takaa operoiva henkilö ilmoittaa organisaation asiakaspalvelun sähköpostilaatikkoon löytäneensä organisaation tuotteesta vakavan haavoittuvuuden. Valkohattuhakkeri on antanut organisaatiolle 90 päivää aikaa julkaista korjauksen haavoittuvuuteen ja viestiä tilanteesta ennen kuin haavoittuvuus tulee julkiseksi. Alustavan arvion mukaan haavoittuvuuden korjaamisessa menee ainakin neljä kuukautta.

Soveltaminen

Skenaariossa käsitellään tilannetta, jossa tuotehaavoittuvuuden julkistusaikataulu on kireämpi kuin korjaamiseen vaadittava aika. Skenaario edellyttää haavoittuvuuskoordinaatiota hakkerin ja viranomaisten kanssa.

Lisähaaste

Tieto valkohattuhakkerin yhteydenotosta on viipynyt asiakaspalvelussa kuukauden, ja tulee ilmi sattumalta kahvipöytäkeskustelussa. Haavoittuvuus on konkurssiin menneen alihankkijan toimittamassa komponentissa.