1. Introduzione

Un obiettivo importante del PSIRT di Western Digital (Product Security Incident Response Team) è proteggere la sicurezza degli utenti finali dei prodotti Western Digital. La politica di divulgazione delle vulnerabilità Western Digital incoraggia i ricercatori nell’ambito della sicurezza e i privati ad agire in buona fede e a impegnarsi a individuare e divulgare le vulnerabilità responsabilmente. Se ritieni di aver individuato una vulnerabilità, dati esposti o altri problemi di sicurezza, vorremmo sentire la tua opinione. La presente politica definisce i passaggi di segnalazione delle vulnerabilità al nostro personale, precisa la definizione di “buona fede” nell’ambito dell’individuazione e della segnalazione di eventuali vulnerabilità e spiega cosa si aspettano in cambio i ricercatori Western Digital.

2. Definizioni

1. Intervallo di riservatezza: In caso di accettazione della tua segnalazione di vulnerabilità, il nostro obiettivo è completare le procedure di monitoraggio e accertamento, e rilasciare una correzione entro 90 giorni dalla presa in carico. Qualora fossero necessarie informazioni aggiuntive per l’accertamento della vulnerabilità, ti contatteremo. Se non riceveremo una risposta dopo tre tentativi, potremmo chiudere il caso, ma accetteremo in ogni caso future comunicazioni.
2. Bollettini di sicurezza: I Bollettini di sicurezza vengono pubblicati qui:
   https://www.westerndigital.com/support/productsecurity
3. Tu / Autore della segnalazione di vulnerabilità: individuo, organizzazione o gruppo ristretto che invia una segnalazione di vulnerabilità.
4. Noi: All’interno della presente politica, con "noi" si intende Western Digital e i relativi marchi, compresi: Western Digital, WD, SanDisk, SanDisk Professional, HGST e G-Technology.
5. Canale di segnalazione ufficiale: il canale delle comunicazioni per segnalare le vulnerabilità: PSIRT@wdc.com.
6. Presa in carico iniziale: La data in cui rispondiamo dopo avere ricevuto la segnalazione su PSIRT, con un numero della pratica e una data di divulgazione di 90 giorni.

3. Istruzioni per la segnalazione delle vulnerabilità

Al fine di segnalare un problema di sicurezza che ritieni di avere individuato all’interno di un prodotto o servizio Western Digital, ti preghiamo di inviare per email i dettagli delle tue osservazioni al nostro canale di segnalazione ufficiale. I messaggi inviati ad altri indirizzi email potrebbero causare ritardi nelle risposte.
Se possibile, includi le seguenti informazioni:

• I prodotti o i servizi interessati, compresi eventuali numeri delle versioni interessante;
• Dettagli sull’entità del problema;
• Eventuali informazioni che permettano di riprodurre o diagnosticare il problema, incluso un Modello di verifica (PoC), se disponibile;
• Se ritieni o meno che la vulnerabilità sia già nota pubblicamente o a terze parti. Utilizza la nostra chiave PGP/GPG per criptare le informazioni prima di inviarle.

Utilizza la nostra chiave PGP/GPG per criptare le informazioni prima di inviarle.

4. Divulgazione delle vulnerabilità coordinata a più utenti

Ci atteniamo alle linee guida e alle procedure FIRST in caso di Coordinamento e divulgazione delle vulnerabilità a più parti. I ricercatori che desiderano segnalare una vulnerabilità a più parti, ma necessitano di assistenza nel coordinamento di più parti vulnerabili, possono contattarci. In caso di accettazione della vulnerabilità, possiamo fornire istruzioni e coordinare la procedura.

5. Ambito dei prodotti e servizi

Tutti i prodotti che si trovano ancora nella fase degli aggiornamenti attuali limitati, comprese le gamme di prodotti di seguito riportate. Sono inoltre apprezzate le segnalazioni di vulnerabilità relative alle nostre pagine e ai nostri servizi web. Tutti i prodotti e i servizi che hanno superato la propria durata non sono coperti dalla presente politica di divulgazione delle vulnerabilità. Ecco un elenco dei prodotti attualmente interessati:

• Network Attached Storage: My Cloud Home, My Cloud, ibi Personal Mobile Storage: My Passport Wireless e iXpand
• Unità di storage professionali: G-DRIVE, G-RAID
• WD BLACK
• Dispositivi di storage esterni: My Book, My Passport, WD EasyStore e WD Elements
• Unità, SSD e memoria flash integrata interne
• Applicazioni desktop e mobili: EdgeRover e SanDisk Memory Zone
• Unità flash USB
• Unità portatili 
• Schede di memoria

Per maggiori informazioni sul ciclo di vita del supporto per i nostri prodotti:
SanDisk: https://kb.sandisk.com/app/answers/detail/a_id/22809
G-Technology: https://support.g-technology.com/downloads.aspx?lang=en
Prodotti WD: https://www.westerndigital.com/it-it/support/software/software-life-cycle-policy

6. II nostro impegno

Lavorando insieme a noi, in linea con la presente politica:

• Attualmente non offriamo la partecipazione a programmi bug bounty. Non accogliamo richieste relative a ricompense in denaro, materiale promozionale o crediti al di fuori della nostra procedura di pubblicazione dei Bollettini di sicurezza.
• Procederemo con la presa in carico iniziale della tua segnalazione di vulnerabilità entro tre giorni lavorativi dalla ricezione, e ti forniremo un numero di tracciamento.
• Invieremo una conferma di approvazione della vulnerabilità entro 30 giorni dalla presa in carico iniziale, indicando un termine ultimo proposto per la correzione del problema. Qualora non approvassimo la segnalazione, ne spiegheremo le motivazioni e saremo in ogni caso disponibili a ricevere nuove informazioni sulla segnalazione.
• Una volta confermata la vulnerabilità individuata, i nostri ingegneri si adopereranno per sviluppare le dovute correzioni.
• Talvolta emergono delle vulnerabilità che non è possibile risolvere entro 90 giorni. Qualora fosse necessaria un intervallo di riservatezza più lungo, lavoreremo insieme a te per estenderlo o fornire una consulenza diversamente. La risoluzione può dipendere da:
  
  • Fornitori a monte con tempistiche di risoluzione diverse dalle nostre.
  • Modifiche architettoniche significative necessarie per trattare la vulnerabilità.
  • Requisiti di convalida complessi o prolungati derivanti da modifiche del firmware di basso livello, come vulnerabilità di firmware di hard disk o SSD.
• Pubblichiamo a nostra discrezione i Bollettini di sicurezza, al fine di fornire informazioni di sicurezza pubblicamente e ai clienti. Confermeremo la presa in carico delle vulnerabilità da te individuate e segnalate sul Bollettino di sicurezza e su CVE se:
  • La vulnerabilità riportata riguarda un prodotto Western Digital attualmente supportato
  • Apportiamo una modifica relativa al codice o alla configurazione in base al problema
  • Sei il primo ad avere segnalato il problema
  • La tua ricerca viene condotta in linea con la presente politica
  • Acconsenti alla conferma di presa in carico.

7. Cosa ci aspettiamo

Partecipando in buona fede al nostro programma di divulgazione delle vulnerabilità, ti chiediamo di attenerti alle seguenti indicazioni.

• Rispetta le regole: attieniti alla presente politica e ad altri eventuali accorti pertinenti. In presenza di incongruenze tra la presente politica e altri termini applicabili, saranno i termini della presente politica a prevalere.
• Segnala tempestivamente eventuali vulnerabilità rilevate.
• Durante i test di sicurezza, cerca di evitare le violazioni della privacy, la riduzione delle prestazioni dell’esperienza utente, l’interruzione dei sistemi di produzione e la distruzione dei dati. In particolare:
  
  • Non causare danni potenziali o effettivi ai nostri clienti, sistemi o applicazioni, anche tramite test distruttivi come i Denial of service.
  • Non sfruttare una vulnerabilità per danneggiare dati o visualizzarne non autorizzati.
  • Non eseguire attacchi rivolti al nostro personale, alle nostre strutture, ai nostri data center, partner e affiliati.
  • Non eseguire attacchi di ingegneria sociale o, diversamente, non falsificare il tuo rapporto o la tua autorizzazione nei confronti dei nostri dipendenti, fornitori, affiliati per accedere alle nostre risorse.
    
  • Non violare leggi o accordi al fine di rilevare vulnerabilità.
    
• Esegui ricerche esclusivamente all’interno dell’ambito del prodotto, descritto nella sezione Ambito dei prodotti e servizi.
• Comunicaci le vulnerabilità di sicurezza solo tramite l’apposita procedura di reporting delle vulnerabilità.
  
• Non divulgare le informazioni relative alle vulnerabilità rilevate fino alla risoluzione del problema e alla pubblicazione di un bollettino di sicurezza. Non divulgare informazioni al di fuori dell’intervallo di riservatezza.
• Qualora una vulnerabilità permettesse di accedere involontariamente a dei dati:
  
  • Riduci al minimo la quantità di dati ai quali accedi limitatamente a una dimostrazione pratica di un modello di verifica;
  • Interrompi il test e invia immediatamente una segnalazione qualora riscontrassi eventuali dati sensibili durante il test, come informazioni che consentono l’identificazione personale dell’utente, informazioni sulla salute dell’utente, dati bancari o informazioni di proprietà riservata.
• Interagisci esclusivamente con account di test di tua proprietà o account dei quali disponi di un’autorizzazione esplicita rilasciata da parte del titolare.

8. Esclusione di responsabilità

Di tanto in tanto potremmo aggiornare l’informativa sulla divulgazione delle vulnerabilità. Prima di inviare i report di vulnerabilità, ti preghiamo rileggere la presente politica. Le divulgazioni saranno regolamentate dalla versione della presente politica pubblicata al momento della presa in carico iniziale.

9. Cronologia modifiche

Pubblicato: 15-10-2021
Versione: 1.1

10. Riferimenti

La presente politica è basata sulle linee guida contenute nei Documenti ISO 29147 e 30111.
Si ringrazia disclose.io per il modello e il testo forniti dietro licenza Creative Commons CC-0, che si sono rivelati molto utili nella realizzazione del nostro VDP.