Vulnerabilities equities process

(VEP) – procedur för hur USA:s säkerhets- och underrättelseorgan ska avgöra ifall en sår­bar­het som de har upptäckt i ett program eller hårdvara ska meddelas tillverkaren eller hållas hemlig. Det berör främst, men inte enbart, CIA och NSA. – Om sårbarheten hålls hemlig och bara är känd av säkerhets­- och underrättelseorganen kan de givetvis utnyttja den för att avläsa, avlyssna och övervaka kommunikationer i hemlighet. Det ska vägas mot risken för att någon annan, till exempel Ryssland, Kina eller en kriminell organisation, också har upptäckt sårbarheten och utnyttjar den. För att undvika det är det bäst att meddela tillverkaren så snart som möjligt. – VEP har funnits sedan 2008, men blev känt först 2016. – Läs mer på Epics webbsidor. Texten med strykningar finns på EFF:s webbsidor (länk).

[avlyssning] [sårbarheter] [underrättelseverksamhet] [övervakning] [ändrad 9 mars 2017]