[stnakashima]

 Cita: Originalmente Escrito por pawa86

Mmmmm si y no. Cuando se descubre un zero-day primero se avisa al afectado y hay un plazo que no recuerdo bien de tiempo exacto en el que hasta que no pasa ese tiempo, la vulnerabilidad no se puede hacer publica.
Que la corrigen en ese tiempo? Genial, pero eso no quiere decir que no se conozca.

Por supuesto, en este caso quién lo descubrió es un White Hat.
La contraseña no se vio comprometida, la única que puede haberse visto comprometida es la cuenta de la persona en una aplicación de terceros.

La falla sigue siendo grave, pero es más fácil de cubrir.
Tener acceso a la contraseña implicaría que una persona tenga que cambiarla, y muchos no lo hacen sinceramente y ni siquiera quieren saber, y entonces la gravedad sería peor