Dukungan Product Security

Dukungan

Kebijakan Pengungkapan Kerentanan Western Digital

1. Pengantar

Tujuan utama Tim Tanggap Insiden Keamanan Produk (PSIRT) Western Digital adalah untuk melindungi keamanan pengguna akhir produk Western Digital. Kebijakan Pengungkapan Kerentanan Western Digital mendukung masukan dari peneliti keamanan dan masyarakat umum, agar bertindak dengan iktikad baik dan terlibat dalam penelitian dan pengungkapan kerentanan yang bertanggung jawab. Jika Anda meyakini telah menemukan suatu kerentanan, data tak terlindung, atau masalah keamanan lainnya, kami ingin mendengarkan masukan Anda. Kebijakan ini menguraikan langkah-langkah untuk melaporkan kerentanan kepada kami, memperjelas definisi iktikad baik Western Digital dalam konteks menemukan dan melaporkan potensi kerentanan, serta menjelaskan apa yang bisa diharapkan oleh peneliti dari Western Digital sebagai balasannya.

2. Definisi

  1. Interval Kerahasiaan: Jika dan ketika kami menerima laporan kerentanan Anda, tujuan kami adalah menyelesaikan pekerjaan pemulihan dan merilis perbaikan dalam 90 hari sejak diketahui pertama kalinya. Jika diperlukan informasi tambahan untuk mengonfirmasi kerentanan, kami akan menghubungi Anda. Jika kami tidak menerima tanggapan setelah 3 percobaan, kami mungkin menutup kasusnya, tetapi kami masin bersedia menerima komunikasi di kemudian hari.
  2. Buletin Keamanan: Buletin Keamanan kami diposting di sini:
    https://www.westerndigital.com/support/productsecurity
  3. Anda/Pelapor Kerentanan: individu, organisasi, atau grup terbatas yang mengungkapkan laporan kerentanan.
  4. Kami: Dalam kebijakan ini, "kami" berarti semua pihak Western Digital dan mencakup merek-merek kami, termasuk: Western Digital, WD, SanDisk, SanDisk Professional, HGST, dan G-Technology.
  5. Saluran Pelaporan Resmi: saluran komunikasi untuk menyampaikan pengungkapan kerentanan: PSIRT@wdc.com.
  6. Pengakuan Awal: Ini adalah tanggal kami menanggapi setelah menerima laporan Anda kepada PSIRT dengan nomor kasus dan tanggal pengungkapan 90 hari.

3. Petunjuk Pelaporan Kerentanan

Untuk melaporkan masalah keamanan yang Anda yakini telah Anda temukan di produk atau layanan Western Digital, silakan kirim detail penemuan Anda melalui email ke saluran pelaporan resmi kami. Pesan yang dikirim ke alamat email lain dapat menyebabkan tertundanya balasan.
Apabila memungkinkan, harap sertakan hal berikut:

  • Produk atau layanan tertentu yang terpengaruh, termasuk setiap nomor versi yang relevan;
  • Detail tentang dampak masalah tersebut;
  • Setiap informasi yang dapat membantu memproduksi ulang atau mendiagnosis masalah, termasuk Bukti Konsep (Proof of Concept/PoC) jika ada; dan
  • Apakah Anda yakin bahwa kerentanan tersebut sudah diungkapkan kepada publik atau diketahui oleh pihak ketiga. Harap gunakan kunci PGP/GPG kami untuk mengenkripsi informasi sebelum mengirimnya.

Harap gunakan kunci PGP/GPG kami untuk mengenkripsi informasi sebelum mengirimnya.

4. Pengungkapan Kerentanan Terkoordinasi Multi-Pihak

Kami mengikuti Panduan dan Praktik PERTAMA untuk Pengungkapan dan Koordinasi Kerentanan Multi-Pihak. Peneliti yang ingin melaporkan kerentanan multi-pihak tetapi membutuhkan bantuan dalam mejelajahi prosesnya atau dalam mengkoordinasi beberapa pihak yang terancam dapat menghubungi kami. Kami dapat menawarkan panduan dan bertindak sebagai koordinator jika kami mengonfirmasi setuju dengan kerentanan tersebut.

5. Cakupan Produk dan Layanan

Semua produk yang masih dalam fase pembaruan saat ini dan pembaruan terbatas yang meliputi keluarga produk yang disebutkan di bawah. Kami juga bersedia menerima laporan tentang kerentanan di semua halaman web dan layanan cloud kami. Semua produk dan layanan yang sudah melewati akhir umur pakainya tidak dicakup dalam kebijakan pengungkapan kerentanan ini. Ini adalah daftar keluarga produk yang saat ini tercakup:

  • Penyimpanan Terpasang ke Jaringan (NAS): My Cloud Home, My Cloud, ibi Personal Mobile Storage: My Passport Wireless dan iXpand
  • Penyimpanan Profesional: G-DRIVE, G-RAID
  • WD BLACK
  • Penyimpanan Eksternal: My Book, My Passport, WD EasyStore, dan WD Elements
  • Drive Internal, SSD & Flash Tertanam
  • Aplikasi Desktop dan Seluler: EdgeRover dan SanDisk Memory Zone
  • Flash Disk USB
  • Drive Portabel 
  • Kartu Memori


LIhat di bawah untuk informasi selengkapnya tentang umur pakai dukungan produk kami:
SanDisk: https://kb.sandisk.com/app/answers/detail/a_id/22809
G-Technology: https://support.g-technology.com/downloads.aspx?lang=en
Produk WD: https://www.westerndigital.com/in-id/support/software/software-life-cycle-policy

6. Komitmen Kami

Ketika bekerja sama dengan kami, sesuai dengan kebijakan ini:

  • Kami saat ini tidak menawarkan atau berpartisipasi dalam program bug bounty yang masih berlaku. Kami tidak menyetujui permintaan untuk pembayaran bounty (hadiah), materi promosi, atau kredit di luar proses publikasi Buletin Keamanan kami.
  • Kami akan mengakui laporan kerentanan Anda dalam 3 hari kerja sejak menerimanya, dan kami akan memberikan nomor pelacakan.
  • Kami akan mengirim konfirmasi penerimaan kerentanan dalam 30 hari sejak pengakuan awal, dan kami akan menyertakan usulan tenggat waktu perbaikan. Jika kami tidak menerima laporan tersebut, kami akan memberikan alasannya dan akan bersikap terbuka menerima informasi baru tentang laporan tersebut.
  • Setelah kerentanan yang dilaporkan dikonfirmasi, teknisi kami akan bekerja keras dalam mengembangkan perbaikan yang sesuai.
  • Kadang-kadang, ada kerentanan yang tidak dapat diselesaikan dalam waktu 90 hari. Jika diperlukan waktu lebih lama dibandingkan interval kerahasiaan normal, kami akan bekerja sama dengan Anda untuk memperpanjang interval kerahasiaan atau memberitahukan sebaliknya. Resolusi dapat tergantung pada:
    • Vendor hulu dengan kerangka waktu resolusi yang berbeda dengan kami.
    • Perubahan arsitektur penting yang diperlukan untuk mengatasi kerentanan.
    • Kebutuhan validasi yang kompleks atau lebih lama yang diakibatkan oleh perubahan firmware tingkat bawah seperti untuk kerentanan firmware hard disk atau SSD.
  • Kami mempublikasikan Buletin Keamanan atas pertimbangan kami sendiri untuk memberikan informasi keamanan kepada pelanggan dan masyarakat. Kami akan menawarkan penghargaan kepada Anda karena telah menemukan dan melaporkan kerentanan pada Buletin Keamanan terkait dan CVE jika:
    • Kerentanan yang dilaporkan memengaruhi produk Western Digital yang didukung saat ini,
    • Kami membuat kode atau perubahan konfigurasi berdasarkan masalah tersebut,
    • Anda merupakan orang pertama yang melaporkan masalah tersebut,
    • Penelitian Anda dilakukan sesuai dengan kebijakan ini, dan
    • Anda setuju dengan penghargaan tersebut.

7. Harapan Kami

Saat berpartisipasi dalam program pengungkapan kerentanan kami dengan iktikad baik, kami meminta hal berikut dari Anda.

  • Bermain sesuai aturan, termasuk mengikuti kebijakan ini dan kesepakatan lain yang terkait. Jika ada inkonsistensi antara kebijakan ini dan ketentuan lain yang berlaku, ketentuan kebijakan ini akan berlaku.
  • Segera laporkan setiap kerentanan yang telah Anda temukan.
  • Berusahalah untuk tidak melanggar privasi, memperburuk pengalaman pengguna, mengganggu sistem produksi, dan merusak data selama pengujian keamanan. Terutama:
    • Jangan menyebabkan potensi kerusakan atau kerusakan yang sesungguhnya pada pengguna, sistem, atau aplikasi kami, termasuk melalui pengujian merusak seperti Penolakan Layanan (Denials of Service).
    • Jangan menyalahgunakan kerentanan untuk melihat data yang tidak diizinkan atau merusak data apa pun.
    • Jangan melakukan serangan yang menyasar personel, properti, pusat data, mitra, dan afiliasi kami.
    • Jangan melakukan percobaan rekayasa sosial atau menyalahartikan afiliasi atau otorisasi Anda yang terkait dengan karyawan, kontraktor, atau afiliasi kami untuk mengakses aset kami.
    • Jangan melanggar undang-udang atau perjanjian apa pun untuk menemukan kerentanan.
  • Hanya lakukan penelitian di dalam cakupan produk yang ditentukan di atas di bawah Cakupan Produk dan Layanan.
  • Sampaikan kerentanan keamanan kepada kami hanya melalui proses pelaporan kerentanan kami.
  • Tetap rahasiakan informasi tentang setiap kerentanan yang telah Anda temukan hingga kami telah berhasil mengatasi masalah tersebut dan buletin keamanan dipublikasikan. Jangan mengungkapkan informasi di luar interval kerahasiaan.
  • Jika suatu kerentanan menyediakan akses tidak sengaja ke data:
    • Batasi jumlah data yang Anda akses seminimum mungkin sesuai yang diperlukan untuk memperlihatkan bukti konsep secara efektif; dan
    • Berhenti melakukan pengujian dan segera mengirim laporan jika Anda menemui data pengguna selama pengujian, seperti Informasi Pengidentifikasi Pribadi (PII), Informasi Perawatan Kesehatan Pribadi (PHI), data kartu kredit, atau informasi rahasia.
  • Hanya berinteraksi dengan akun pengujian yang Anda miliki atau akun di mana Anda memiliki izin jelas dari pemilik akun.

8. Penafian

Kami dapat memperbarui Kebijakan Pengungkapan Kerentanan sewaktu-waktu. Harap tinjau kebijakan ini sebelum mengirim laporan kerentanan. Pengungkapan diatur oleh versi kebijakan ini yang dipublikasikan saat pengakuan awal.

9. Riwayat Perubahan

Dipublikasikan: 15-10-2021
Versi: 1.1

10. Referensi

Kebijakan ini berdasarkan pada panduan yang disajikan di Dokumen ISO 29147 & 30111.
Terima kasih kepada disclose.io atas garis besar dan teks yang diberikan di bawah Creative Commons CC-0 karena itu sangat bermanfaat dalam menyusun Kebijakan Pengungkapan Kerentanan kami.