1. Einführung

Ein wichtiges Ziel des Western Digital PSIRT (Product Security Incident Response Team) ist es, die Sicherheit der Endbenutzer von Western Digital Produkten zu schützen. Im Rahmen der Richtlinie von Western Digital zur Offenlegung von Schwachstellen werden Sicherheitsexperten und die allgemeine Öffentlichkeit ermutigt, in gutem Glauben zu handeln und sich an der verantwortungsvollen Suche und Offenlegung von Schwachstellen zu beteiligen. Wenn Sie glauben, eine Schwachstelle, ein Datenleck oder andere Sicherheitsprobleme entdeckt zu haben, möchten wir von Ihnen hören. In dieser Richtlinie wird dargelegt, wie Sie Schwachstellen an uns melden können, wie Western Digital „in gutem Glauben“ mit Bezug auf die Entdeckung und Meldung potenzieller Schwachstellen definiert, und es wird erklärt, was Forscher im Gegenzug von Western Digital erwarten können.

2. Definitionen

1. Wir / Uns: In dieser Richtlinie bezieht sich „wir“ auf alle Marken von Western Digital.
2. Sie / Schwachstellenmelder: eine Einzelperson, Organisation oder begrenzte Gruppe, die eine Schwachstelle meldet.
3. Vertraulichkeitszeitraum: Wenn wir Ihren Schwachstellenbericht akzeptieren, ist es unser Ziel, die Schwachstelle innerhalb von 90 Tagen nach der ersten Bestätigung zu beheben und eine Lösung zu veröffentlichen. Wenn zusätzliche Informationen zur Bestätigung der Schwachstelle erforderlich sind, werden wir Sie kontaktieren. Wenn wir nach 3 Versuchen keine Antwort erhalten, steht es uns frei, den Fall zu schließen, aber natürlich begrüßen wir jede weitere Mitteilung.
4. Sicherheitsbulletins: Unsere Sicherheitsmitteilungen finden Sie hier:
   https://www.westerndigital.com/support/productsecurity
5. Offizieller Meldekanal: der Kommunikationskanal für die Bekanntgabe von Schwachstellenmeldungen. PSIRT@wdc.com.
6. Erstmalige Bestätigung: Das Datum, an dem wir Ihnen nach Erhalt Ihrer Meldung an PSIRT mit einer Fallnummer und einer 90-tägigen Offenlegungsfrist antworten.

3. Hinweise zum Melden von Schwachstellen

Wenn Sie ein Sicherheitsproblem melden möchten, das Sie in einem Produkt oder Services von Western Digital gefunden haben, senden Sie bitte eine E-Mail mit den Einzelheiten Ihrer Erkenntnisse an unseren offiziellen Meldekanal. Nachrichten, die an andere E-Mail-Adressen gesendet werden, können zu einer verzögerten Antwort führen.

Erforderliche Informationen:

• Das/die spezifische(n) Produkt(e) und Versionsnummer(n); oder
• Für Dienste den spezifischen Dienst und/oder die spezifische URL einschließlich eines Zeitstempels des gemeldeten Problems; und
• Schritte zur Reproduktion des Problems, einschließlich eines Proof of Concept (PoC);

Empfohlen:

• Geben Sie alle relevanten CWE-Referenzen an, falls verfügbar;
• Ihren Kenntnisstand darüber, ob die Schwachstelle der Öffentlichkeit oder Dritten bekannt ist

Nutzen Sie vor dem Absenden unseren PGP/GPG Key, um die Informationen zu verschlüsseln.

4. Koordinierte Offenlegung von Schwachstellen, die mehrere Parteien betreffen

Wir befolgen die Richtlinien und Praktiken von FIRST hinsichtlich der Koordinierung und Offenlegung von Schwachstellen, die mehrere Parteien betreffen.

5. Produkt- und Serviceumfang

Wir akzeptieren Sicherheitsberichte über alle HDD-basierten und plattformbezogenen Produkte von Western Digital sowie zugehörige Cloud-Dienste, die nicht am Ende des Update-/Supportzeitraums stehen. Eingestellte Produkte und Services fallen nicht unter diese Richtlinie zur Offenlegung von Schwachstellen.

6. Außerhalb des Geltungsbereichs

Scans der Produktschwachstelle

• PSIRT akzeptiert ohne einen Proof of Concept keine Schwachstellen-Scanberichte auf unseren Geräten.

Zur Meldung von Flash-basierten Produkten von Western Digital finden Sie Informationen in der SanDisk Richtlinie zur Offenlegung von Schwachstellen.

Wir begrüßen auch Schwachstellenberichte über unsere Internetpräsenz, d. h. westerndigital.com. Bitte senden Sie diese Berichte an websecurity@wdc.com.

Akzeptierte Web-Schwachstellen:

• OWASP Top-10-Schwachstellenkategorien
• Andere Schwachstellen mit nachgewiesenen Auswirkungen

Nicht akzeptierte Web-Schwachstellen:

• Theoretische Schwachstellen
• Informationsoffenlegung nicht-sensibler Daten
• Geringe Auswirkung/niedrige Wahrscheinlichkeit der Schwachstellen-Ausnutzung

7. Unser Commitment

Wenn Sie mit uns zusammenarbeiten, gelten die folgenden Richtlinien:

• Wir bieten derzeit kein Bug-Bounty-Programm an oder nehmen an einem solchen Programm teil. Wir beantworten keine Anfragen bezüglich Prämienzahlungen, Werbematerial oder Gutschriften außerhalb des Veröffentlichungsprozesses unseres Sicherheitsbulletins.
• Eine Erstbestätigung Ihrer Schwachstellenmeldung erfolgt innerhalb von 3 Werktagen nach Erhalt, wobei wir Ihnen eine Trackingnummer mitteilen.
• Innerhalb von 30 Tagen nach der Erstbestätigung erhalten Sie eine Nachricht über die Annahme der Schwachstelle, in der wir eine Frist für die Behebung vorschlagen. Wenn wir den Bericht nicht annehmen, werden wir dies begründen, bleiben jedoch für neue Informationen über den Bericht offen.
• Sobald die gemeldete Schwachstelle bestätigt wurde, beginnen unsere Techniker mit der Entwicklung der entsprechenden Lösung(en).
• Gelegentlich gibt es Schwachstellen, die nicht innerhalb der 90-Tage-Frist behoben werden können. Wenn mehr Zeit als der normale Vertraulichkeitszeitraum benötigt wird, werden wir in Absprache mit Ihnen den Vertraulichkeitszeitraum verlängern oder Sie anderweitig informieren. Die Lösung eines Problems kann von folgenden Faktoren abhängen:
  
  • Vorgelagerte Anbieter mit anderen Fristen für die Lösung als wir.
  • Erhebliche Änderungen an der Architektur, die erforderlich sind, um die Schwachstelle zu beheben.
  • Komplexe oder erweiterte Prüfanforderungen, die sich aus grundlegenden Firmware-Änderungen ergeben, z. B. bei Schwachstellen in der Festplatten- oder Firmware.
• Wir veröffentlichen Sicherheitsbulletins nach eigenem Ermessen, um unseren Kunden und der Öffentlichkeit Sicherheitsinformationen zur Verfügung zu stellen. Für das Auffinden und Melden der Sicherheitslücke bieten wir Ihnen an, Sie namentlich im entsprechenden Sicherheitsbulletin und CVE zu nennen, vorausgesetzt:
  • Die gemeldete Sicherheitslücke betrifft ein derzeit unterstütztes Produkt von Western Digital,
  • Wir nehmen eine Code- oder Konfigurationsänderung aufgrund des Problems vor,
  • Sie sind die erste Person, die das Problem meldet,
  • Ihre Nachforschungen wurden in Übereinstimmung mit dieser Richtlinie durchgeführt, und
  • Sie erklären sich mit der namentlichen Nennung einverstanden.
• Wir veröffentlichen keine Hinweise für allgemeine Sicherheitsverbesserungen und defensive Programmkorrekturen, die keine nachgewiesenen Sicherheitsauswirkungen haben.

8. Was wir von Ihnen erwarten

Wenn Sie in gutem Glauben an unserem Programm zur Offenlegung von Schwachstellen teilnehmen, bitten wir Sie um Folgendes.

• Halten Sie sich an die Regeln, einschließlich der Befolgung dieser Richtlinie und aller anderen einschlägigen Vereinbarungen. Im Falle von Widersprüchen zwischen dieser Richtlinie und anderen geltenden Bestimmungen haben die Bestimmungen dieser Richtlinie Vorrang.
• Melden Sie jede Schwachstelle, die Sie entdeckt haben, unverzüglich.
• Achten Sie darauf, während der Sicherheitstests Verletzungen der Privatsphäre, Beeinträchtigungen der Benutzer, Störungen der Produktionssysteme und die Beschädigung von Daten zu vermeiden. Im Einzelnen:
  
  • Verursachen Sie keine potenziellen oder tatsächlichen Schäden für unsere Benutzer, Systeme oder Anwendungen, auch nicht durch disruptive Tests wie Denials of Service.
  • Nutzen Sie eine Sicherheitslücke nicht aus, um unautorisiert auf Daten zuzugreifen oder Daten zu beschädigen.
  • Führen Sie keine Angriffe durch, die sich gegen unser Personal, unser Eigentum, unsere Rechenzentren, Partner und verbundenen Unternehmen richten.
  • Führen Sie keine Social-Engineering-Versuche durch und machen Sie gegenüber unseren Mitarbeitern, Auftragnehmern oder verbundenen Unternehmen keine falschen Angaben bezüglich Ihrer Zugehörigkeit oder Ihre Berechtigung zum Zugriff auf unsere Assets.
    
  • Verstoßen Sie nicht gegen Gesetze oder Verträge, um Schwachstellen zu entdecken.
    
• Führen Sie Ihre Nachforschungen nur innerhalb des oben unter Produkt- und Serviceumfang definierten Produktbereichs durch.
• Teilen Sie uns Sicherheitsschwachstellen nur über unser Verfahren zur Meldung von Schwachstellen mit.
  
• Behandeln Sie Informationen über von Ihnen entdeckte Sicherheitslücken vertraulich, bis wir das Problem behoben haben und ein Sicherheitsbulletin veröffentlicht wurde. Geben Sie keine Informationen außerhalb des Vertraulichkeitszeitraums weiter.
• Wenn eine Sicherheitslücke unbeabsichtigten Zugang zu Daten ermöglicht:
  
  • Begrenzen Sie die Datenmenge, auf die Sie zugreifen, auf das Minimum, das für einen wirksamen Nachweis des Konzepts erforderlich ist, und
  • Brechen Sie die Tests ab und reichen Sie sofort einen Bericht ein, wenn Sie während der Tests auf Benutzerdaten wie persönlich identifizierbare Informationen (PII), persönliche Gesundheitsinformationen (PHI), Kreditkartendaten oder geschützte Informationen stoßen.
• Interagieren Sie nur mit Testkonten, die Ihnen gehören oder für die Sie eine ausdrückliche Genehmigung des Kontoinhabers haben.

9. Haftungsausschluss

Wir können die Richtlinie zur Offenlegung von Schwachstellen von Zeit zu Zeit aktualisieren. Lesen Sie diese Richtlinie, bevor Sie Schwachstellenberichte einreichen. Für die Offenlegung gilt die zum Zeitpunkt der Erstbestätigung veröffentlichte Fassung dieser Richtlinie.

10. Änderungsverlauf

Veröffentlicht am: 17. März 2025
Version: 2.0

11. Verweise

Diese Richtlinie stützt sich auf die in den ISO-Dokumenten 29147 30111 dargelegten Leitlinien.
Unser Dank gilt disclose.io für den Entwurf und den Text unter Creative Commons CC-0, die uns bei der Erstellung unserer Richtlinie sehr hilfreich waren.