1. Εισαγωγή

Σημαντικός στόχος της Ομάδας PSIRT της Western Digital (Ομάδα Ανταπόκρισης σε Συμβάντα Ασφάλειας Προϊόντων) είναι η προστασία της ασφάλειας των τελικών χρηστών των προϊόντων της Western Digital. Η Πολιτική αποκάλυψης ευπαθειών της Western Digital ενθαρρύνει τη συνεισφορά των ερευνητών ασφάλειας, καθώς και του ευρέως κοινού, προκειμένου να δράσουν καλή τη πίστει και να συμμετάσχουν με υπευθυνότητα στην έρευνα και γνωστοποίηση των ευπαθειών. Εάν πιστεύετε ότι έχετε εντοπίσει μια ευπάθεια, εκτεθειμένα δεδομένα ή άλλα προβλήματα ασφάλειας, θα θέλαμε να σας ακούσουμε. Αυτή η πολιτική περιγράφει συνοπτικά τα βήματα για την αναφορά ευπαθειών, αποσαφηνίζει τον ορισμό της Western Digital για την καλή πίστη στο πλαίσιο της ανακάλυψης και της αναφοράς πιθανών ευπαθειών και εξηγεί τι μπορούν να περιμένουν οι ερευνητές από τη Western Digital ως αντάλλαγμα.

2. Ορισμοί

1. Πλαίσιο εμπιστευτικότητας: Εάν και εφόσον αποδεχθούμε την αναφορά ευπαθειών σας, στόχος μας είναι να ολοκληρώσουμε την εργασία αποκατάστασης και να αποστείλουμε μια ενημέρωση επιδιόρθωσης εντός 90 ημερών από την αρχική επιβεβαίωση των ευπαθειών. Εάν απαιτηθούν πρόσθετες πληροφορίες για την επιβεβαίωση της ευπάθειας, θα επικοινωνήσουμε μαζί σας. Σε περίπτωση που δεν λάβουμε απάντηση μετά από 3 προσπάθειες, ενδέχεται να αρχειοθετήσουμε την αναφορά. Ωστόσο, θα συνεχίσουμε να είμαστε ανοιχτοί για μελλοντική επικοινωνία.
2. Ενημερωτικά δελτία ασφάλειας: Τα Ενημερωτικά δελτία ασφάλειάς μας αναρτώνται στην παρακάτω διεύθυνση:
   https://www.westerndigital.com/support/productsecurity
3. Εσείς/Αναφέρων ευπάθειας: άτομο, οργανισμός ή ανώνυμη εταιρεία που γνωστοποιεί μια αναφορά ευπάθειας.
4. Εμείς/η Εταιρεία: Στο πλαίσιο της παρούσας πολιτικής, ως "εμείς" νοείται ολόκληρη η Western Digital, συμπεριλαμβανομένων των επωνυμιών μας: Western Digital, WD, SanDisk, SanDisk Professional, HGST και G-Technology.
5. Επίσημο κανάλι αναφορών: το κανάλι επικοινωνίας σχετικά με τις αποκαλύψεις ευπαθειών: PSIRT@wdc.com.
6. Αρχική επιβεβαίωση: Πρόκειται για την ημερομηνία κατά την οποία σας απαντούμε μετά τη λήψη της αναφοράς σας προς την PSIRT, με έναν αριθμό συμβάντος και μια ημερομηνία γνωστοποίησης 90 ημερών.

3. Οδηγίες αναφοράς ευπαθειών

Προκειμένου να αναφέρετε ένα πρόβλημα ασφάλειας το οποίο πιστεύετε ότι ανακαλύψατε σε ένα προϊόν ή μια υπηρεσία της Western Digital, αποστείλετε ένα μήνυμα ηλεκτρονικού ταχυδρομείου με τις λεπτομέρειες των ευρημάτων σας στο επίσημο κανάλι αναφορών μας. Τυχόν μηνύματα που θα αποσταλούν σε άλλες διευθύνσεις ηλεκτρονικού ταχυδρομείου ενδέχεται να λάβουν καθυστερημένα απάντηση.
Εφόσον είναι εφικτό, συμπεριλάβετε τα παρακάτω:

• Το(α) συγκεκριμένο(α) προϊόν(τα) ή υπηρεσία(ες) επηρεάζονται, συμπεριλαμβανομένων των σχετικών αριθμών έκδοσης.
• Λεπτομέρειες σχετικά με τον αντίκτυπο του προβλήματος.
• Κάθε πληροφορία που μπορεί να βοηθήσει στην αναπαραγωγή ή τη διάγνωση του προβλήματος, συμπεριλαμβανομένης μιας Απόδειξης της Ιδέας (PoC), εάν υπάρχει, και
• Εάν πιστεύετε ότι η ευπάθεια έχει ήδη κοινοποιηθεί δημοσίως ή είναι γνωστή σε τρίτους. Χρησιμοποιήστε το κλειδί κρυπτογράφησής μας PGP/GPG για να κρυπτογραφήσετε τις πληροφορίες πριν από την αποστολή τους.

Χρησιμοποιήστε το κλειδί κρυπτογράφησής μας PGP/GPG για να κρυπτογραφήσετε τις πληροφορίες πριν από την αποστολή τους.

4. Συντονισμένη αποκάλυψη ευπαθειών με αντίκτυπο σε πολλά μέρη

Τηρούμε τις Οδηγίες και Πρακτικές της PSIRT για τον Συντονισμό και την αποκάλυψη ευπαθειών με αντίκτυπο σε πολλά μέρη. Οι ερευνητές που επιθυμούν να αναφέρουν μια ευπάθεια με αντίκτυπο σε πολλά μέρη, αλλά χρειάζονται βοήθεια στη διενέργεια της διαδικασίας ή στον συντονισμό πολλαπλών ευπαθών μερών μπορούν να επικοινωνήσουν μαζί μας. Μπορούμε να προσφέρουμε καθοδήγηση και να ενεργήσουμε ως συντονιστές, εφόσον επιβεβαιώσουμε την αποδοχή της ευπάθειας.

5. Εύρος προϊόντων και υπηρεσιών

Όλα τα προϊόντα εμπίπτουν στη φάση των τρεχόντων και των περιορισμένων ενημερώσεων, συμπεριλαμβανομένων των οικογενειών προϊόντων που αναφέρονται παρακάτω. Επίσης, αποδεχόμαστε αναφορές ευπαθειών σε όλες τις ιστοσελίδες και τις υπηρεσίες cloud μας. Όλα τα προϊόντα και οι υπηρεσίες μετά τη λήξη του κύκλου ζωής τους δεν καλύπτονται από την παρούσα πολιτική αποκάλυψης ευπαθειών. Αυτός είναι ο κατάλογος των προϊόντων για τα οποία ισχύει η παρούσα πολιτική:

• Συστήματα δικτυακής αποθήκευσης: My Cloud Home, My Cloud, ibi Personal Mobile Storage: My Passport Wireless και iXpand
• Επαγγελματικές λύσεις αποθήκευσης: G-DRIVE, G-RAID
• WD BLACK
• Εξωτερικές μονάδες αποθήκευσης: My Book, My Passport, WD EasyStore και WD Elements
• Εσωτερικές μονάδες, SSDs & ενσωματωμένες μνήμες flash
• Εφαρμογές για επιτραπέζιες και κινητές συσκευές: EdgeRover και SanDisk Memory Zone
• Μονάδες USB Flash
• Φορητές μονάδες δίσκου 
• Κάρτες μνήμης

Βλ. παρακάτω για περισσότερες πληροφορίες σχετικά με τον κύκλο ζωής υποστήριξης των προϊόντων μας:
SanDisk: https://kb.sandisk.com/app/answers/detail/a_id/22809
G-Technology: https://support.g-technology.com/downloads.aspx?lang=en
Προϊόντα WD: https://www.westerndigital.com/el-gr/support/software/software-life-cycle-policy

6. Οι δεσμεύσεις μας

Για τη συνεργασία σας μαζί μας, σύμφωνα με την παρούσα πολιτική:

• Προς το παρόν, δεν προσφέρουμε ούτε συμμετέχουμε σε ισχύοντα προγράμματα επιβράβευσης εντοπισμού σφαλμάτων. Δεν αποδεχόμαστε αιτήματα για πληρωμές επιβράβευσης, υλικό προώθησης ή για πίστωση, εκτός από τη διαδικασία δημοσίευσης του Ενημερωτικού δελτίου ασφαλείας μας.
• Θα λάβετε εκ μέρους μας μια αρχική επιβεβαίωση της αναφοράς ευπαθειών σας, εντός 3 εργάσιμων ημερών από τη λήψη της αναφοράς. Θα σας παρασχεθεί ένας αριθμός παρακολούθησης.
• Θα σας αποστείλουμε την επιβεβαίωση αποδοχής των ευπαθειών εντός 30 ημερών από την αρχική επιβεβαίωσή μας, και θα συμπεριλάβουμε μια προτεινόμενη προθεσμία έκδοσης της ενημέρωσης επιδιόρθωσης. Εάν δεν αποδεχτούμε την αναφορά, θα σας παρουσιάσουμε το σκεπτικό μας και θα παραμείνουμε ανοικτοί σε νέες πληροφορίες σχετικά με την αναφορά.
• Μόλις επιβεβαιωθεί η ευπάθεια που αναφέρθηκε, οι μηχανικοί μας θα εργαστούν για τη δημιουργία της(ων) κατάλληλης(ων) ενημέρωσης(εων) επιδιόρθωσης.
• Σε ορισμένες περιπτώσεις, υπάρχουν ευπάθειες που δεν μπορούν να αντιμετωπιστούν, εντός χρονικού διαστήματος 90 ημερών. Εάν απαιτείται περισσότερος χρόνος από αυτόν του τυπικού πλαισίου εμπιστευτικότητας, θα συνεργαστούμε μαζί σας για την παράταση του πλαισίου εμπιστευτικότητας ή θα σας παρέχουμε άλλη καθοδήγηση. Η αντιμετώπιση ενδέχεται να εξαρτηθεί από:
  
  • Εξωτερικούς προμηθευτές με διαφορετικά χρονικά πλαίσια αντιμετώπισης από τα δικά μας.
  • Εκτεταμένες αλλαγές στην αρχιτεκτονική που απαιτούνται για την αντιμετώπιση της ευπάθειας.
  • Σύνθετες ή εκτεταμένες απαιτήσεις επαλήθευσης που απορρέουν από αλλαγές υλικολογισμικού βασικού επιπέδου, όπως για ευπάθειες υλικολογισμικού σκληρών δίσκων ή σκληρών δίσκων στερεάς κατάστασης.
• Δημοσιεύουμε Ενημερωτικά δελτία ασφάλειας κατά την κρίση μας, προκειμένου να παρέχουμε πληροφορίες ασφάλειας στους πελάτες μας και στο κοινό. Θα κάνουμε μνεία στη συνεισφορά σας για την ανακάλυψη και την αναφορά της ευπάθειας στο σχετικό Ενημερωτικό δελτίο ασφάλειας και στα αναγνωριστικά Κοινών Ευπαθειών και Εκθέσεων (CVΕ), εφόσον:
  • Η αναφερόμενη ευπάθεια επηρεάζει ένα τρεχόν υποστηριζόμενο προϊόν της Western Digital.
  • Εισάγουμε μια αλλαγή στον κώδικα ή στη ρύθμιση παραμέτρων με βάση το πρόβλημα,
  • Είστε οι πρώτοι που αναφέρατε το πρόβλημα.
  • Η έρευνά σας διεξήχθη, σύμφωνα με την παρούσα πολιτική, και
  • Συναινείτε στη μνεία.

7. Οι απαιτήσεις μας

Για να συμμετέχετε καλή τη πίστει στο πρόγραμμα αποκάλυψης ευπαθειών μας, σας ζητούμε τα παρακάτω.

• Ακολουθήστε τους κανόνες και μεταξύ άλλων, τηρείστε την παρούσα πολιτική και τυχόν άλλες συναφείς συμφωνίες. Εάν υπάρχει ασυνέπεια μεταξύ της παρούσας πολιτικής και τυχόν άλλων όρων σε ισχύ, οι όροι της παρούσας πολιτικής θα υπερισχύσουν.
• Αναφέρετε έγκαιρα κάθε ευπάθεια που ανακαλύπτετε.
• Καταβάλετε κάθε προσπάθεια να αποφύγετε τις παραβιάσεις του ιδιωτικού απορρήτου, την υποβάθμιση της εμπειρίας χρήστη, τη διακοπή των συστημάτων παραγωγής και την καταστροφή των δεδομένων κατά τη διάρκεια των δοκιμών ασφάλειας. Ειδικότερα:
  
  • Μην προκαλείτε πιθανές ή πραγματικές ζημιές στους χρήστες μας, στα συστήματά μας ή στις εφαρμογές μας, μεταξύ άλλων, μέσω δοκιμών διακοπής, όπως οι επιθέσεις άρνησης υπηρεσίας.
  • Μην εκμεταλλεύεστε μια ευπάθεια για να προβάλετε μη εξουσιοδοτημένα δεδομένα ή να καταστρέψετε τυχόν δεδομένα.
  • Μη διενεργείτε επιθέσεις που στοχεύουν στο προσωπικό μας, στα κέντρα δεδομένων μας, στους εταίρους και στις θυγατρικές μας.
  • Μη διενεργείτε απόπειρες κοινωνικής χειραγώγησης ή με άλλον τρόπο εσφαλμένης παρουσίασης της σχέσης ή της εξουσιοδότησής σας σε εργαζομένους, εργολάβους ή θυγατρικές μας για να αποκτήσετε πρόσβαση σε ψηφιακά στοιχεία μας.
    
  • Μην παραβιάζετε νόμους και μην αθετείτε τυχόν συμφωνίες για την ανακάλυψη ευπαθειών.
    
• Διενεργήστε έρευνα μόνο στο πλαίσιο του εύρους των προϊόντων που ορίζονται παραπάνω, σύμφωνα με το Εύρος προϊόντων και υπηρεσιών.
• Γνωστοποιήστε ευπάθειες ασφάλειας σε εμάς, μόνο μέσω της διαδικασίας αναφοράς ευπαθειών μας.
  
• Διατηρήστε την εμπιστευτικότητα τυχόν ευπαθειών που ανακαλύψατε μέχρι να αντιμετωπίσουμε το πρόβλημα και να εκδώσουμε το ενημερωτικό δελτίο ασφάλειας. Μη γνωστοποιείτε πληροφορίες εκτός του πλαισίου εμπιστευτικότητας.
• Εάν μια ευπάθεια παρέχει απροσδόκητη πρόσβαση σε δεδομένα:
  
  • Περιορίστε τον όγκο των δεδομένων στα οποία έχετε πρόσβαση στον ελάχιστο βαθμό που είναι αναγκαίος για την αποτελεσματική παρουσίαση της απόδειξης της ιδέας σας, και
  • Παύστε τις δοκιμές και υποβάλετε μια αναφορά αμέσως, εάν αποκτήσετε πρόσβαση σε τυχόν δεδομένα χρηστών κατά τις δοκιμές, όπως στοιχεία προσωπικής ταυτοποίησης (PII), στοιχεία προσωπικής υγειονομικής περίθαλψης (PHI), στοιχεία πιστωτικών καρτών ή ιδιόκτητες πληροφορίες.
• Αλληλεπιδράστε μόνο με δοκιμαστικούς λογαριασμούς που κατέχετε ή με λογαριασμούς για τους οποίους έχετε τη ρητή άδεια του κατόχου του λογαριασμού.

8. Αποποίηση ευθυνών

Ενδέχεται να ενημερώνουμε την Πολιτική αποκάλυψης ευπαθειών κατά καιρούς. Ανατρέξτε στην παρούσα πολιτική πριν από την υποβολή αναφορών ευπάθειας. Οι γνωστοποιήσεις διέπονται από την έκδοση της παρούσας πολιτικής που έχει δημοσιευτεί κατά τον χρόνο της αρχικής επιβεβαίωσης.

9. Ιστορικό αλλαγών

Δημοσιεύθηκε: 15-10-2021
Έκδοση 1.1

10. Παραπομπή:

Η παρούσα πολιτική βασίζεται στις οδηγίες που παρουσιάζονται στα έγγραφα των προτύπων ISO 29147 & 30111.
Ευχαριστίες στους disclose.io για το πλαίσιο και το κείμενο που παρείχαν, σύμφωνα με την άδεια Creative Commons CC-0, καθώς αποδείχθηκε πολύ χρήσιμη στην κατάρτιση της δική μας Πολιτικής αποκάλυψης ευπαθειών (VDP).