Suporte Product Security

Suporte

Política de Revelação de Vulnerabilidade da Western Digital

1. Introdução

Um objetivo importante da Western Digital PSIRT (Product Security Incident Response Team, equipe de resposta a incidente de segurança de produto) é proteger a segurança dos usuários finais dos produtos Western Digital. A Política de Revelação de Vulnerabilidade da Western Digital incentiva as informações de pesquisadores de segurança e do público em geral, para agir de boa fé e se envolver em pesquisa e divulgação responsáveis de vulnerabilidades. Se você acreditar que descobriu uma vulnerabilidade, exposição de dados ou outros problemas de segurança, queremos ouvir de você. Esta política descreve as etapas para informar vulnerabilidades para nós, esclarece a definição de boa fé da Western Digital no contexto da descoberta e revelação de potenciais vulnerabilidades e explica o que os pesquisadores podem esperar da Western Digital como retorno.

2. Definições

  1. Janela de Confidencialidade: Se e quando aceitarmos seu relatório de vulnerabilidade, nosso objetivo é concluir o trabalho de remediação e lançar uma correção no prazo de 90 dias a partir da confirmação inicial. Se for necessária informação adicional para confirmar a vulnerabilidade, entraremos em contato com você. Se não recebermos resposta depois de três tentativas, podemos encerrar o caso, mas continuaremos recebendo comunicações futuras.
  2. Boletins de Segurança: Nossos Boletins de Segurança são postados aqui:
    https://www.westerndigital.com/support/productsecurity
  3. Você / Informante de Vulnerabilidade: indivíduo, organização ou grupo limitado que apresenta um relatório de vulnerabilidade.
  4. Nós: Nesta política, "nós" significa toda a Western Digital e cobre nossas marcas, incluindo: Western Digital, WD, SanDisk, SanDisk Professional, HGST e G-Technology.
  5. Canal Oficial de Relatório: o canal de comunicações para comunicação sobre revelações de vulnerabilidades: PSIRT@wdc.com.
  6. Confirmação Inicial: Esta é a data e que respondemos depois de receber seu relatório para o PSIRT com um número de caso e uma data de divulgação de 90 dias.

3. Instruções para Relatório de Vulnerabilidade

Para informar um problema de segurança que você encontrou em um produto ou serviço da Western Digital, envie um e-mail com os detalhes das suas conclusões para nosso canal oficial de informação. Mensagens enviadas para qualquer outro endereço de e-mail podem resultar em atraso da resposta.
Quando possível, inclua o seguinte:

  • O(s) produto(s) ou serviço(s) afetado(s), incluindo qualquer número de versão relevante;
  • Detalhes sobre o impacto do problema;
  • Qualquer informação que possa ajudar a reproduzir ou diagnosticar o problema, incluindo uma Prova de Conceito, se for aplicável; e
  • Se você acredita que a vulnerabilidade já está publicamente revelada ou é conhecida por terceiros. Use a nossa chave PGP/GPG para criptografar as informações antes de enviar.

Use a nossa chave PGP/GPG para criptografar as informações antes de enviar.

4. Revelação de Vulnerabilidade Coordenada de Múltiplas Partes

Nós seguimos as Diretrizes e Práticas de FIRST para Coordenação e Revelação de Vulnerabilidade de Múltiplas Partes Pesquisadores que desejarem informar uma vulnerabilidade de múltiplas partes mas desejarem assistência para navegação pelo processo ou para coordenação de múltiplas partes vulneráveis podem entrar em contato conosco. Nós podemos oferecer orientação e atuar como coordenador se confirmarmos a aceitação da vulnerabilidade.

5. Escopo dos Produtos e Serviços

Todos os produtos que ainda estejam na fase de atualizações atuais e limitadas, incluindo as famílias de produtos mencionadas abaixo. Nós também agradecemos relatórios de vulnerabilidade sobre todas as nossas páginas da web e nossos serviços da nuvem. Todos os produtos e serviços e serviços que tenham passado de seu fim de vida não são cobertos por esta política de revelação de vulnerabilidade. Esta é a lista dos produtos atualmente em escopo:

  • Network Attached Storage (armazenamento conectado à rede): My Cloud Home, My Cloud, ibi Armazenamento móvel pessoal: My Passport Wireless e iXpand
  • Armazenamento profissional: G-DRIVE, G-RAID
  • WD BLACK
  • Armazenamento externo: My Book, My Passport, WD EasyStore e WD Elements
  • Unidades internas, SSDs e
  • aplicações de desktop e móveis com flash integrado: EdgeRover e SanDisk Memory Zone
  • Unidades flash USB
  • HDs portáteis 
  • Cartões de memória


Veja abaixo para obter mais informações sobre nosso ciclo de vida de suporte de produto:
SanDisk: https://kb.sandisk.com/app/answers/detail/a_id/22809
G-Technology: https://support.g-technology.com/downloads.aspx?lang=en
Produtos WD: https://www.westerndigital.com/pt-br/support/software/software-life-cycle-policy

6. Nossos Compromissos

Ao trabalhar conosco, em conformidade com esta política:

  • Nós atualmente não oferecemos nem participamos de programas de premiação por descoberta de falhas. Nós não honramos solicitações de pagamento de prêmios, material promocional ou crédito fora de nosso processo de publicação do Boletim de Segurança.
  • Nos confirmaremos inicialmente seu relatório de vulnerabilidade no prazo de 3 dias úteis após o recebimento e forneceremos um número de acompanhamento.
  • Nós enviaremos uma confirmação de aceitação de vulnerabilidade no prazo de 30 dias a partir da nossa confirmação inicial, e incluiremos um prazo proposto para a correção. Se não aceitarmos o relatório, forneceremos os motivos e continuaremos abertos para novas informações sobre o relatório.
  • Uma vez que a vulnerabilidade informada tenha sido confirmada, nossos engenheiros trabalharão no desenvolvimento das correções apropriadas.
  • Ocasionalmente, existem vulnerabilidades que não podem ser resolvidas no prazo de 90 dias. Se for necessário mais tempo do que a janela de confidencialidade normal, nós trabalharemos com você para estender a janela de confidencialidade ou informaremos o contrário. A resolução pode depender de:
    • Fornecedores com prazos de resolução diferentes dos nossos.
    • Alterações de arquitetura substanciais necessárias para tratar a vulnerabilidade.
    • Requisitos de validação complexos ou extensos resultantes de alterações de baixo nível no firmware, tais como para vulnerabilidades em firmware de disco rígido ou SSD.
  • Nós publicamos Boletins de Segurança a nosso critério para fornecer informações de segurança para nossos clientes e para o público. Nós ofereceremos reconhecimento para você pela descoberta e relatório da vulnerabilidade no Boletim de Segurança e no CVE relativo se:
    • A vulnerabilidade informada afetar um produto Western Digital suportado atualmente,
    • Fizermos uma alteração de código ou configuração baseada no problema,
    • Você tiver sido o primeiro a informar o problema,
    • Sua pesquisa tiver sido conduzida em conformidade com esta política, e
    • Você consentir com o reconhecimento.

7. Nossas expectativas

Ao participar de nosso programa de revelação de vulnerabilidade de boa fé, nós pedimos o seguinte a você.

  • Siga as regras, incluindo seguir esta política e qualquer outro acordo relevante. Se houver alguma inconsistência entre esta política e qualquer outro termo aplicável, os temos desta política prevalecerão.
  • Informe qualquer vulnerabilidade que descobrir prontamente.
  • Faça todos os esforços para evitar violações de privacidade, degradação da experiência do usuário, perturbação de sistemas de produção e descrição de dados durante testes de segurança. Em particular:
    • Não cause danos potenciais ou reais aos nossos usuários, sistemas ou aplicativos, inclusive através de testes perturbadores como Denial of Service.
    • Não explore uma vulnerabilidade para visualizar dados não autorizados ou para corromper dados.
    • Não execute ataques que tenham como alvo nosso pessoal, nossas propriedades, datacenters, parceiros e afiliados.
    • Não tente executar engenharia social ou falsificar de outro modo a sua afiliação ou autorização para qualquer de nossos funcionários, contratados ou afiliados para acessar nossos ativos.
    • Não viole nenhuma lei nem viole nenhum contrato para descobrir vulnerabilidades.
  • Execute pesquisas apenas no escopo do produto definido acima em Escopo de Produtos e Serviços.
  • Comunique vulnerabilidades de segurança para nós apenas através do nosso processo de relatório de vulnerabilidade.
  • Mantenha confidenciais as informações sobre qualquer vulnerabilidade que tenha descoberto até que tenhamos resolvido o problema e um boletim de segurança tenha sido publicado. Não divulgue informações fora da janela de confidencialidade.
  • Se uma vulnerabilidade permitir acesso não intencional a dados:
    • Limite a quantidade de dados que você acessa ao mínimo necessário para demonstrar efetivamente uma prova de conceito; e
    • Pare de testar e envie um relatório imediatamente se encontrar algum dado de usuários durante o teste, tais como Informações Pessoais Identificáveis, Informações Pessoais de Saúde, dados de cartão de crédito ou informações proprietárias.
  • Interaja apenas com contas de teste de sua propriedade ou contas em que você tenha permissão explícita do detentor da conta.

8. Declaração de isenção

Nós podemos atualizar a Política de Revelação de Vulnerabilidade de tempos em tempos. Revise esta política antes de enviar relatórios de vulnerabilidade. As revelações serão governadas pelas versão desta política publicada na época da confirmação inicial.

9. Histórico de alterações

Publicação: 15-10-2021
Versão: 1.1

10. Referências

Esta política é baseada nas diretrizes apresentadas nos Documentos ISO 29147 e 30111.
Obrigado a disclose.io pelo seu esboço e pelo texto fornecido em Creative Commons CC-0, ele foi muito útil na criação de nossa VDP.