Supporto Product Security

Politica sulla divulgazione delle vulnerabilità Western Digital

1. Introduzione

Un obiettivo importante del PSIRT di Western Digital (Product Security Incident Response Team) è proteggere la sicurezza degli utenti finali dei prodotti Western Digital. La politica di divulgazione delle vulnerabilità Western Digital incoraggia i ricercatori nell’ambito della sicurezza e i privati ad agire in buona fede e a impegnarsi a individuare e divulgare le vulnerabilità responsabilmente. Se ritieni di aver individuato una vulnerabilità, dati esposti o altri problemi di sicurezza, vorremmo sentire la tua opinione. La presente politica definisce i passaggi di segnalazione delle vulnerabilità al nostro personale, precisa la definizione di “buona fede” nell’ambito dell’individuazione e della segnalazione di eventuali vulnerabilità e spiega cosa si aspettano in cambio i ricercatori Western Digital.

2. Definizioni

  1. Noi: all’interno della presente politica, con "noi" si intende Western Digital e i relativi marchi.
  2. Tu / Autore della segnalazione di vulnerabilità: individuo, organizzazione o gruppo ristretto che invia una segnalazione di vulnerabilità.
  3. Intervallo di riservatezza: In caso di accettazione della tua segnalazione di vulnerabilità, il nostro obiettivo è completare le procedure di monitoraggio e accertamento, e rilasciare una correzione entro 90 giorni dalla presa in carico. Qualora fossero necessarie informazioni aggiuntive per l’accertamento della vulnerabilità, ti contatteremo. Se non riceveremo una risposta dopo tre tentativi, potremmo chiudere il caso, ma accetteremo in ogni caso future comunicazioni.
  4. Bollettini di sicurezza: I nostri bollettini di sicurezza sono consultabili al seguente link:
    https://www.westerndigital.com/support/productsecurity
  5. Canale di segnalazione ufficiale: il canale delle comunicazioni per segnalare le vulnerabilità: PSIRT@wdc.com.
  6. Presa in carico iniziale: La data in cui rispondiamo dopo avere ricevuto la segnalazione su PSIRT, con un numero della pratica e una data di divulgazione di 90 giorni.

3. Istruzioni per la segnalazione delle vulnerabilità

Al fine di segnalare un problema di sicurezza che ritieni di avere individuato all’interno di un prodotto o servizio Western Digital, ti preghiamo di inviare per email i dettagli delle tue osservazioni al nostro canale di segnalazione ufficiale. I messaggi inviati ad altri indirizzi email potrebbero causare ritardi nelle risposte.

Informazioni richieste:

  • il prodotto (o i prodotti) e il numero (o i numeri) di versione specifici; oppure
  • nel caso di servizio (o servizi), indicare il servizio specifico e/o l’URL, incluso un timestamp del problema segnalato; e
  • i passaggi da seguire per riprodurre il problema, inclusa una Prova di concetto (PoC);

Consigliato:

  • Fornire eventuali riferimenti CWE pertinenti, se disponibili;
  • Se ritieni o meno che la vulnerabilità sia già nota pubblicamente o a terze parti.

Prima di inviarle, hai la possibilità di criptare le informazioni utilizzando la nostra chiave PGP/GPG.

4. Divulgazione delle vulnerabilità coordinata a più utenti

Ci atteniamo alle linee guida e alle procedure FIRST in caso di Coordinamento e divulgazione delle vulnerabilità a più parti.

5. Ambito dei prodotti e servizi

Accettiamo report di sicurezza su tutti i prodotti e le piattaforme basati su HDD Western Digital e i relativi servizi cloud che vengono ancora aggiornati o supportati. Tutti i prodotti e i servizi che non vengono più aggiornati o supportati non sono coperti dalla presente politica sulla divulgazione delle vulnerabilità.

6. Non pertinente

Scansioni della vulnerabilità del prodotto

  • Il team PSIRT non accetta report di scansione delle vulnerabilità sui nostri dispositivi se non corredati da una Prova di concetto.

Per report su prodotti basati su unità flash Western Digital, fare riferimento alla Politica sulla divulgazione delle vulnerabilità di SanDisk.

Inoltre, accettiamo volentieri eventuali segnalazioni di vulnerabilità relative alla nostra presenza online; ad esempio, per westerndigital.com, inviare eventuali segnalazioni a websecurity@wdc.com.

Vulnerabilità Web ritenute accettabili:

  • Le categorie di vulnerabilità OWASP Top 10
  • Altre vulnerabilità con impatto dimostrato

Vulnerabilità Web ritenute non accettabili:

  • Vulnerabilità teoriche
  • Divulgazioni di informazioni su dati non sensibili Divulgazioni informative di dati non sensibili
  • Basso impatto/bassa probabilità di sfruttare le vulnerabilità

7. II nostro impegno

Lavorando insieme a noi, in linea con la presente politica:

  • Attualmente non offriamo la partecipazione ad alcun programma bug bounty. Non accogliamo richieste relative a ricompense in denaro, materiale promozionale o crediti al di fuori della nostra procedura di pubblicazione dei Bollettini di sicurezza.
  • Procederemo con la presa in carico iniziale della tua segnalazione di vulnerabilità entro tre giorni lavorativi dalla ricezione, e ti forniremo un numero di tracciamento.
  • Invieremo una conferma di approvazione della vulnerabilità entro 30 giorni dalla presa in carico iniziale, indicando un termine ultimo proposto per la correzione del problema. Qualora non approvassimo la segnalazione, ne spiegheremo le motivazioni e saremo in ogni caso disponibili a ricevere nuove informazioni sulla segnalazione.
  • Una volta confermata la vulnerabilità individuata, i nostri ingegneri si adopereranno per sviluppare le dovute correzioni.
  • Talvolta emergono delle vulnerabilità che non è possibile risolvere entro 90 giorni. Qualora fosse necessaria un intervallo di riservatezza più lungo, lavoreremo insieme a te per estenderlo o fornire una consulenza diversamente. La risoluzione può dipendere da:
    • Fornitori a monte con tempistiche di risoluzione diverse dalle nostre.
    • Modifiche architettoniche significative necessarie per trattare la vulnerabilità.
    • Requisiti di convalida complessi o prolungati derivanti da modifiche del firmware di basso livello, come vulnerabilità di firmware di hard disk.
  • Pubblichiamo a nostra discrezione i Bollettini di sicurezza, al fine di fornire informazioni di sicurezza pubblicamente e ai clienti. Confermeremo la presa in carico delle vulnerabilità da te individuate e segnalate sul Bollettino di sicurezza e su CVE se:
    • La vulnerabilità riportata riguarda un prodotto Western Digital attualmente supportato
    • Apportiamo una modifica relativa al codice o alla configurazione in base al problema
    • Sei il primo ad avere segnalato il problema
    • La tua ricerca viene condotta in linea con la presente politica
    • Acconsenti alla conferma di presa in carico.
  • Non pubblichiamo avvisi per miglioramenti generali della sicurezza e correzioni alla programmazione difensiva che non abbiano un comprovato impatto sulla sicurezza.

8. Cosa ci aspettiamo

Partecipando in buona fede al nostro programma di divulgazione delle vulnerabilità, ti chiediamo di attenerti alle seguenti indicazioni.

  • Rispetta le regole: attieniti alla presente politica e ad altri eventuali accorti pertinenti. In presenza di incongruenze tra la presente politica e altri termini applicabili, saranno i termini della presente politica a prevalere.
  • Segnala tempestivamente eventuali vulnerabilità rilevate.
  • Durante i test di sicurezza, cerca di evitare le violazioni della privacy, la riduzione delle prestazioni dell’esperienza utente, l’interruzione dei sistemi di produzione e la distruzione dei dati. In particolare:
    • Non causare danni potenziali o effettivi ai nostri clienti, sistemi o applicazioni, anche tramite test distruttivi come i Denial of service.
    • Non sfruttare una vulnerabilità per danneggiare dati o visualizzarne non autorizzati.
    • Non eseguire attacchi rivolti al nostro personale, alle nostre strutture, ai nostri data center, partner e affiliati.
    • Non eseguire attacchi di ingegneria sociale o, diversamente, non falsificare il tuo rapporto o la tua autorizzazione nei confronti dei nostri dipendenti, fornitori, affiliati per accedere alle nostre risorse.
    • Non violare leggi o accordi al fine di rilevare vulnerabilità.
  • Esegui ricerche esclusivamente all’interno dell’ambito del prodotto, descritto nella sezione Ambito dei prodotti e servizi.
  • Comunicaci le vulnerabilità di sicurezza solo tramite l’apposita procedura di reporting delle vulnerabilità.
  • Non divulgare le informazioni relative alle vulnerabilità rilevate fino alla risoluzione del problema e alla pubblicazione di un bollettino di sicurezza. Non divulgare informazioni al di fuori dell’intervallo di riservatezza.
  • Qualora una vulnerabilità permettesse di accedere involontariamente a dei dati:
    • Riduci al minimo la quantità di dati ai quali accedi limitatamente a una dimostrazione pratica di un modello di verifica;
    • Interrompi il test e invia immediatamente una segnalazione qualora riscontrassi eventuali dati sensibili durante il test, come informazioni che consentono l’identificazione personale dell’utente, informazioni sulla salute dell’utente, dati bancari o informazioni di proprietà riservata.
  • Interagisci esclusivamente con account di test di tua proprietà o account dei quali disponi di un’autorizzazione esplicita rilasciata da parte del titolare.

9. Esclusione di responsabilità

Di tanto in tanto potremmo aggiornare l’informativa sulla divulgazione delle vulnerabilità. Prima di inviare i report di vulnerabilità, ti preghiamo rileggere la presente politica. Le divulgazioni saranno regolamentate dalla versione della presente politica pubblicata al momento della presa in carico iniziale.

10. Cronologia modifiche

Pubblicato: 17 marzo 2025
Versione: 2.0

11. Riferimenti

La presente politica è basata sulle linee guida contenute nei Documenti ISO 29147 e 30111.
Si ringrazia disclose.io per il modello e il testo forniti dietro licenza Creative Commons CC-0, che si sono rivelati molto utili nella realizzazione del nostro VDP.