1. Úvod

Důležitým cílem týmu Western Digital PSIRT (Product Security Incident Response Team), který reaguje na bezpečnostní incidenty týkající se produktů, je chránit bezpečnost koncových uživatelů produktů společnosti Western Digital. Zásady společnosti Western Digital pro nahlašování zranitelností se snaží podpořit výzkumníky v oblasti bezpečnosti i širokou veřejnost, aby jednali v dobré víře a při výzkumu a nahlašování zranitelností se chovali zodpovědně. Pokud si myslíte, že jste objevili zranitelnost, nechráněná data nebo jiný bezpečnostní problém, chceme, abyste nám to oznámili. Tyto zásady popisují kroky k ohlašování zranitelností, objasňují, jak společnost Western Digital definuje jednání v dobré víře v kontextu odhalování a ohlašování potenciálních zranitelností, a vysvětlují, co za to mohou výzkumníci od společnosti Western Digital očekávat.

2. Definice

1. Období mlčenlivosti: V případě, že vaše hlášení o zranitelnosti přijmeme, je naším cílem dokončit práce na nápravě a vydat opravu do 90 dnů od úvodního potvrzení. Pokud budeme potřebovat k potvrzení zranitelnosti další informace, budeme vás kontaktovat. Pokud od vás ani po třech pokusech nedostaneme žádnou odpověď, můžeme případ uzavřít, ale stále budeme rádi, když se nám v budoucnosti ozvete.
2. Bezpečnostní zpravodaje: Naše bezpečnostní zpravodaje publikujeme zde:
   https://www.westerndigital.com/support/productsecurity
3. Vy / oznamovatel zranitelnosti: jednotlivec, organizace nebo omezená skupina nahlašující zranitelnost.
4. My: Pojmem „my“ v rámci těchto zásad označujeme celou společnost Western Digital včetně všech našich značek, například Western Digital, WD, SanDisk, SanDisk Professional, HGST a G-Technology.
5. Oficiální oznamovací kanál: Komunikační kanál pro komunikaci o nahlašování zranitelností: PSIRT@wdc.com.
6. Úvodní potvrzení: Toto je datum, kdy po přijetí vašeho hlášení pro tým PSIRT odpovíme s číslem případu a datem 90denního období nahlášení.

3. Pokyny pro ohlašování zranitelností

Pokud chcete nahlásit bezpečnostní problém, který jste podle vás v produktu nebo službě společnosti Western Digital objevili, pošlete prosím e-mail s podrobnostmi o svém objevu na náš oficiální oznamovací kanál. Zprávy poslané na libovolnou jinou e-mailovou adresu mohou mít za následek opožděnou reakci.
Pokud je to možné, uveďte prosím následující informace:

• konkrétní postižené produkty nebo služby, včetně příslušných čísel verzí,
• podrobnosti o dopadu problému,
• veškeré informace, které mohou pomoci problém reprodukovat nebo diagnostikovat, včetně zkušebního provedení (Proof of Concept, PoC), pokud je to možné,
• zda si myslíte, že je tato zranitelnost již veřejně známá nebo známá třetím stranám. Informace prosím před odesláním zašifrujte pomocí našeho klíče PGP/GPG.

Informace prosím před odesláním zašifrujte pomocí našeho klíče PGP/GPG.

4. Koordinované nahlašování zranitelností několika stran

Řídíme se pokyny a postupy pro koordinaci a nahlašování zranitelností několika stran organizace FIRST. Výzkumníci, kteří chtějí ohlásit zranitelnost několika stran a chtěli by pomoci s orientací v tomto procesu nebo s koordinací několika zranitelných stran, se na nás mohou obrátit. Pokud potvrdíme přijetí zranitelnosti, můžeme jim nabídnout pomoc a stát se koordinátorem tohoto procesu.

5. Dotčené produkty a služby

Všechny produkty, které jsou stále ve fázi aktuálních a omezených aktualizací včetně níže uvedených produktových řad. Vítáme také oznámení o zranitelnosti všech našich webových stránek a cloudových služeb. Tyto zásady pro nahlašování zranitelností se nevztahují na žádné produkty a služby, které již nejsou podporovány. Toto je seznam aktuálně dotčených produktů:

• Síťová úložiště: My Cloud Home, My Cloud, osobní mobilní úložiště ibi: My Passport Wireless a iXpand
• Profesionální úložiště: G-DRIVE, G-RAID
• WD BLACK
• Externí úložiště: My Book, My Passport, WD EasyStore a WD Elements
• Interní disky, disky SSD a integrované paměti flash
• Stolní a mobilní aplikace: EdgeRover a SanDisk Memory Zone
• USB flash disky
• Přenosné disky 
• Paměťové karty

Níže najdete další informace o naší podpoře během životního cyklu produktů:
SanDisk: https://kb.sandisk.com/app/answers/detail/a_id/22809
G-Technology: https://support.g-technology.com/downloads.aspx?lang=en
Produkty WD: https://www.westerndigital.com/cs-cz/support/software/software-life-cycle-policy

6. Naše závazky

Když s námi budete spolupracovat, platí tyto zásady:

• V současné době nenabízíme ani se neúčastníme žádných stálých programů nabízejících odměny za nalezení chyb. Neuznáváme žádosti o peněžní odměny, propagační materiály nebo nějakou formu uznání kromě procesu publikace v našich bezpečnostních zpravodajích.
• Do tří pracovních dnů od přijetí vašeho hlášení o zranitelnosti vám zašleme jeho úvodní potvrzení a poskytneme vám sledovací číslo.
• Do 30 dnů od našeho úvodního potvrzení vám pošleme potvrzení o přijetí zranitelnosti, jehož součástí bude i navržená lhůta pro její opravu. Pokud vaše hlášení nepřijmeme, vysvětlíme vám naše důvody a zůstaneme otevření novým informacím k tomuto hlášení.
• Jakmile nahlášenou zranitelnost potvrdíme, naši odborníci začnou pracovat na vývoji příslušných oprav.
• Někdy se může stát, že zranitelnost nepůjde vyřešit během 90denní lhůty. Pokud bude potřeba získat více času než nabízí obvyklé období mlčenlivosti, pokusíme se s vámi dohodnout na prodloužení období mlčenlivosti nebo na jiném řešení. Řešení může záviset na:
  
  • dalších dodavatelích, kteří mají jiné lhůty na řešení než my,
  • zásadních změnách architektury, které jsou nutné k vyřešení zranitelnosti,
  • složitých nebo rozsáhlých požadavcích na ověření kvůli nízkoúrovňovým změnám firmwaru, například u zranitelností firmwaru pevných nebo SSD disků.
• Podle svého uvážení publikujeme bezpečnostní zpravodaje, abychom svým zákazníkům i veřejnosti poskytovali informace o bezpečnosti. Nabídneme vám uznání za nalezení a ohlášení zranitelnosti v příslušném bezpečnostním zpravodaji a CVE v případě, že:
  • ohlášená zranitelnost se týká aktuálně podporovaného produktu společnosti Western Digital,
  • provedeme na základě tohoto problému změnu kódu nebo konfigurace,
  • jste první, kdo tento problém nahlásil,
  • váš výzkum je proveden v souladu s těmito zásadami,
  • souhlasíte s vyjádřením tohoto uznání.

7. Naše očekávání

Abyste se účastnili našeho programu nahlašování zranitelností v dobré víře, žádáme od vás dodržování následujících bodů.

• Hrajte podle pravidel, včetně dodržování těchto zásad a všech dalších příslušných dohod. Pokud dojde k nějakému nesouladu mezi těmito zásadami a jinými příslušnými podmínkami, mají přednost podmínky v těchto zásadách.
• Bez zbytečného odkladu ohlaste každou zranitelnost, kterou objevíte.
• Udělejte vše pro to, aby během testování bezpečnosti nedošlo k narušení soukromí, zhoršení uživatelské spokojenosti, narušení produkčních systémů a zničení dat, a zejména:
  
  • nezpůsobte potenciální nebo skutečnou škodu našim uživatelům, systémům nebo aplikacím, a to ani rušivými testy, jako je například útok na dostupnost služby (DoS),
  • nezneužívejte zranitelnosti k zobrazování neautorizovaných dat nebo k poškození jakýchkoli dat,
  • neprovádějte útoky zaměřené na naše zaměstnance, majetek, datová centra, partnery a přidružené společnosti,
  • neprovádějte pokusy o sociální inženýrství ani nijak neuvádějte v omyl naše zaměstnance, dodavatele nebo přidružené společnosti ohledně vaší příslušnosti nebo oprávnění, abyste získali přístup k našim prostředkům,
    
  • neporušujte žádné zákony ani dohody, abyste objevili zranitelnosti.
    
• Výzkum provádějte pouze na dotčených produktech definovaných v části Dotčené produkty a služby.
• Komunikujte s námi o bezpečnostních zranitelnostech výhradně prostřednictvím našeho procesu nahlašování zranitelností.
  
• Informace o zranitelnostech, které jste objevili, udržujte v tajnosti, dokud problém nevyřešíme a nepublikujeme bezpečnostní zpravodaj. Nenahlašujte informace mimo období mlčenlivosti.
• Pokud zranitelnost poskytne nezamýšlený přístup k datům:
  
  • omezte množství dat, ke kterým budete přistupovat, na minimum nutné pro účinné prokázání zkušebního provedení
  • a ukončete testování a okamžitě odešlete hlášení, pokud se během testování setkáte s libovolnými uživatelskými daty, například osobními údaji, osobními údaji o zdravotní péči, údaji o kreditních kartách nebo soukromými informacemi.
• Provádějte interakce pouze s vašimi vlastními testovacími účty nebo s účty, ke kterým máte výslovné svolení od majitele účtu.

8. Vyloučení odpovědnosti

Tyto zásady nahlašování zranitelností můžeme čas od času aktualizovat. Před odesláním hlášení o zranitelnosti si prosím tyto zásady prostudujte. Nahlašování bude podléhat verzi těchto zásad publikované v době úvodního potvrzení.

9. Historie změn

Publikováno: 15. 10. 2021
Verze: 1.1

10. Reference

Tyto zásady jsou založeny na pokynech uvedených v dokumentech ISO 29147 a 30111.
Děkujeme organizaci disclose.io za jejich osnovu a text, poskytované pod licencí Creative Commons CC-0, protože nám při přípravě našich zásad velmi pomohly.