1. Inleiding

Een belangrijk doel van het Western Digital PSIRT (Product Security Incident Response Team) betreft de bescherming van de veiligheid van de eindgebruikers van Western Digital-producten. Het Western Digital-beleid betreffende de openbaarmaking van kwetsbaarheden moedigt veiligheidsonderzoekers en het bredere publiek aan om input te leveren, om te goeder trouw te handelen en om mee te doen aan het onderzoek naar en de openbaarmaking van kwetsbaarheden. Als je denkt een kwetsbaarheid, blootgestelde gegevens of een ander probleem met betrekking tot de veiligheid gevonden te hebben, dan horen wij dat graag van je. Dit beleid omvat stappen voor het melden van kwetsbaarheden aan ons, maakt duidelijk wat Western Digital verstaat onder 'te goeder trouw' in de context van het ontdekken en melden van mogelijke kwetsbaarheden, en legt uit wat onderzoekers daar op hun beurt voor mogen verwachten van Western Digital.

2. Definities

1. Geheimhoudingsperiode: Als wij je melding van een kwetsbaarheid accepteren, is het ons doel om binnen 90 dagen vanaf onze eerste bevestiging een oplossing te zoeken en uit te brengen. Als wij meer informatie nodig hebben om de kwetsbaarheid te kunnen bevestigen, nemen wij contact met je op. Als wij na drie pogingen geen antwoord ontvangen, kunnen wij de melding sluiten. Verdere communicatie omtrent je melding blijft echter welkom.
2. Beveiligingsbulletins: Onze beveiligingsbulletins worden hier gepubliceerd:
   https://www.westerndigital.com/support/productsecurity
3. U / de persoon die een kwetsbaarheid meldt: Dit is de persoon, organisatie of beperkte groep die de melding van een kwetsbaarheid doet.
4. Wij / ons: Binnen dit beleid worden met 'wij' het volledige Western Digital en al onze merken bedoeld, waaronder: Western Digital, WD, SanDisk, SanDisk Professional, HGST en G-Technology.
5. Officieel meldingskanaal: Het kanaal dat wordt gebruikt voor communicatie over de openbaarmaking van kwetsbaarheden: PSIRT@wdc.com.
6. Eerste bevestiging: Dit is de datum waarop wij reageren na ontvangst van je melding door PSIRT, met een casenummer en een bekendmakingsdatum na 90 dagen.

3. Instructies voor het melden van kwetsbaarheden

Als je een beveiligingsprobleem wilt melden dat je denkt gevonden te hebben in een product of service van Western Digital, stuur dan meer informatie over je bevindingen naar ons officieel meldingskanaal. Als je een ander e-mailadres gebruikt, kan dat vertraging veroorzaken.
Vermeld zo mogelijk de volgende informatie:

• Het (de) specifieke product(en) of service(s) waarover het gaat, inclusief alle relevante versienummers;
• Nadere bijzonderheden omtrent de impact van het probleem;
• Informatie die kan helpen om het probleem te reproduceren of diagnosticeren, met inbegrip van een Proof of Concept (PoC) indien beschikbaar;
• Of de kwetsbaarheid volgens jou al openbaar bekend is of bekend is bij derden. Gebruik onze PGP-/GPG-sleutel om je informatie vóór verzending te versleutelen.

Gebruik onze PGP-/GPG-sleutel om je informatie vóór verzending te versleutelen.

4. Gecoördineerde bekendmaking van kwetsbaarheden met meer partijen

Wij volgen de FIRST Guidelines and Practices met betrekking tot Multi-Party Vulnerability Coordination and Disclosure (gecoördineerde bekendmaking van kwetsbaarheden met meer partijen). Onderzoekers die een kwetsbaarheid met meer partijen willen melden maar hulp willen bij het proces of de coördinatie met meerdere betrokken partijen, kunnen zich tot ons wenden. Als wij de kwetsbaarheid accepteren, kunnen wij hulp bieden en fungeren als coördinator.

5. Betrokken producten en services

Alle producten die zich nog in de actuele en beperkte updatefase bevinden, waaronder de onderstaande productseries. Wij verwelkomen meldingen van kwetsbaarheden ook op en in al onze webpagina’s en cloudservices. Dit beleid betreffende de openbaarmaking van kwetsbaarheden is niet van toepassing op producten en services die het einde van hun levensduur hebben bereikt. Op dit moment gaat het om de volgende producten:

• Network Attached Storage: My Cloud Home, My Cloud, ibi Personal Mobile Storage: My Passport Wireless en iXpand
• Professionele opslag: G-DRIVE, G-RAID
• WD BLACK
• Externe opslag: My Book, My Passport, WD EasyStore en WD Elements
• Interne drives, SSD’s en Embedded Flash
• Desktoptoepassingen en mobiele toepassingen: EdgeRover en SanDisk Memory Zone
• USB-flashdrives
• Draagbare schijven 
• Geheugenkaarten

Hier vind je meer informatie over de ondersteuningscyclus van onze producten:
SanDisk: https://kb.sandisk.com/app/answers/detail/a_id/22809
G-Technology: https://support.g-technology.com/downloads.aspx?lang=en
WD-producten: https://www.westerndigital.com/nl-nl/support/software/software-life-cycle-policy

6. Ons commitment

Wanneer je met ons samenwerkt in het kader van dit beleid, geldt het volgende:

• Wij nemen niet deel aan programma’s die het melden van bugs belonen en bieden dergelijke programma’s/beloningen zelf ook niet aan. Wij gaan niet in op verzoeken om geldelijke beloning, gratis promotiemateriaal of naamvermelding buiten ons proces voor het publiceren van beveiligingsbulletins om.
• Wij bezorgen je binnen drie werkdagen na ontvangst een eerste bevestiging van je melding, met daarbij een trackingnummer.
• Wij versturen de bevestiging dat je kwetsbaarheid is geaccepteerd binnen 30 dagen na onze eerste bevestiging, met daarbij een voorgestelde deadline voor een oplossing. Als wij de melding niet accepteren, bezorgen we je onze redenen daartoe en houden wij ons beschikbaar voor nieuwe informatie met betrekking tot je melding.
• Zodra de gemelde kwetsbaarheid is bevestigd, gaan onze engineers aan de slag om een of meer geschikte oplossingen te vinden.
• Niet elke kwetsbaarheid kan binnen het tijdsbestek van 90 dagen worden opgelost. Als meer tijd nodig is dan de normale geheimhoudingsperiode, nemen we contact met je op om een langere geheimhoudingsperiode af te spreken of andere maatregelen te treffen. De oplossing is mogelijk afhankelijk van:
  
  • Andere partijen in het proces die een ander tijdsbestek hanteren dan wij;
  • Substantiële wijzigingen die nodig kunnen zijn in de architectuur;
  • Complexe of langdurige validatie-eisen als gevolg van low-level firmwareaanpassingen zoals bij kwetsbaarheden in harde schijven of SSD’s.
• Wij oordelen zelf over de publicatie van beveiligingsbulletins om klanten en het publiek meer veiligheidsinformatie te bezorgen. Wij zullen je in het desbetreffende beveiligingsbulletin en CVE bedanken voor het vinden en melden van de kwetsbaarheid, als:
  • de gemelde kwetsbaarheid een op dat moment ondersteund Western Digital-product betreft;
  • wij een code- of configuratiewijziging doorvoeren op basis van het probleem;
  • je de eerste bent die het probleem meldt;
  • je onderzoek is uitgevoerd in overeenstemming met dit beleid;
  • je instemt met een dergelijke bevestiging.

7. Onze verwachtingen

Als je aan ons programma voor het bekendmaken van kwetsbaarheden deelneemt, verwachten wij het volgende van je.

• Je houdt je aan de regels, dit beleid en alle overige relevante afspraken. Mocht dit beleid in tegenspraak zijn met andere van toepassing zijnde voorwaarden, dan heeft dit beleid voorrang.
• Meld elke kwetsbaarheid die je ontdekt zo snel mogelijk.
• Doe al het noodzakelijke om de privacy te beschermen, de gebruikerservaring niet te schaden, productiesystemen niet te storen en data niet te vernietigen tijdens het testen van de beveiliging. Meer in het bijzonder:
  
  • Veroorzaak geen mogelijke of werkelijke schade aan onze gebruikers, systemen of toepassingen, ook niet via disruptieve tests zoals een DoS-aanval.
  • Gebruik de kwetsbaarheid niet om inzage te verkrijgen in gegevens waartoe je het recht niet hebt en zorg ervoor dat je geen gegevens beschadigt.
  • Voer geen aanvallen uit die gericht zijn tegen onze medewerkers, eigendommen, datacenters, partners of dochterondernemingen.
  • Doe geen poging tot social engineering en doe niet alsof er een band bestaat tussen jou en onze medewerkers, partners of dochterondernemingen om op basis daarvan toegang te krijgen tot onze systemen.
    
  • Houd je bij het opsporen van kwetsbaarheden altijd aan de wet en leef overeenkomsten na.
    
• Doe alleen onderzoek voor zover het de hierboven onder Betrokken producten en services genoemde producten betreft.
• Houd je voor het communiceren van kwetsbaarheden aan ons proces voor het melden van kwetsbaarheden.
  
• Houd informatie over elke door jou gevonden kwetsbaarheid geheim totdat wij het probleem hebben opgelost en een beveiligingsbulletin hebben gepubliceerd. Maak geen informatie openbaar buiten de geheimhoudingsperiode.
• Als een kwetsbaarheid gegevens onbedoeld toegankelijk maakt:
  
  • Beperk de hoeveelheid gegevens die je benadert tot het minimum dat nodig is om tot een Proof of Concept te komen.
  • Stop onmiddellijk met testen en doe meteen melding als je tijdens het testen aanloopt tegen gebruikersgegevens zoals persoonsgegevens, medische gegevens, creditcardgegevens of bedrijfseigen gegevens.
• Gebruik alleen testaccounts waarvan je zelf eigenaar bent of accounts waarvoor je uitdrukkelijk toestemming hebt gekregen van de accounthouder.

8. Afwijzing van aansprakelijkheid

Het beleid betreffende de openbaarmaking van kwetsbaarheden kan regelmatig door ons worden geactualiseerd. Lees dit beleid nog een keer door voordat je een kwetsbaarheid meldt. Op elke openbaarmaking is de versie van dit beleid van toepassing die van kracht was op het moment van de eerste bevestiging.

9. Versiegeschiedenis

Publicatie: 15-10-2021
Versie: 1.1

10. Referentie

Dit beleid is gebaseerd op richtlijnen zoals bepaald in ISO-documenten 29147 en 30111.
Wij willen disclose.io bedanken voor het overzicht en de tekst van de Creative Commons CC-0. Deze informatie kwam goed van pas bij het opstellen van dit beleid.