1. Общие сведения

Важная цель работы отдела реагирования на нарушения безопасности продуктов (PSIRT) Western Digital — защита безопасности пользователей продуктов Western Digital. Согласно политике раскрытия информации об уязвимостях, компания Western Digital рекомендует аналитикам в области безопасности и пользователям руководствоваться принципами добросовестности для ответственного анализа уязвимостей и раскрытия соответствующей информации. Если у вас есть основания считать, что вы обнаружили уязвимость, раскрытые данные или другие проблемы с безопасностью, сообщите нам о них. В этом документе описаны действия, которые необходимо выполнить, чтобы сообщить нам об уязвимости, объясняется, как мы в Western Digital понимаем добросовестность в контексте обнаружения возможных уязвимостей и сообщения о них, а также поясняется, что аналитики могут ожидать от Western Digital взамен на предоставленную информацию.

2. Определения

1. Период соблюдения конфиденциальности. В том случае и в тот момент, когда мы принимаем ваше сообщение об уязвимости, наша цель — выполнить работы по устранению уязвимости и выпустить исправление в течение 90 дней с момента ее первоначального подтверждения. Если для подтверждения уязвимости требуется дополнительная информация, мы к вам обратимся. Если после трех попыток связаться с вами мы не получим ответ, обращение может быть закрыто, но вы по-прежнему можете повторно сообщить нам по данному вопросу.
2. Бюллетени по безопасности. Наши бюллетени по безопасности публикуются на странице
   https://www.westerndigital.com/support/productsecurity
3. Вы / отправитель отчета об уязвимости — частное лицо, организация или группа лиц, которая отправляет отчет об уязвимости.
4. Мы / нас. В настоящих правилах "мы" означает все подразделения Western Digital и наши бренды, включая следующие: Western Digital, WD, SanDisk, SanDisk Professional, HGST и G-Technology.
5. Официальный канал связи для отправки отчетов — канал обмена данными для предоставления информации об уязвимости: PSIRT@wdc.com.
6. Первоначальное подтверждение. Это дата, когда мы отвечаем вам, указывая в ответе номер обращения и начало 90-дневного периода с даты получения отделом PSIRT вашего отчета.

3. Инструкции по отправке отчета об уязвимости

Чтобы сообщить о проблеме с безопасностью, которую вы обнаружили в продукте или службе Western Digital, отправьте сообщение по электронной почте с подробными сведениями, используя наш официальный канал связи для отправки отчетов. В случае отправки сообщений на другие адреса электронной почты ответ может прийти с задержкой.
По возможности укажите следующие данные:

• названия продуктов или услуг, в которых была найдена уязвимость, и номера соответствующих версий;
• данные о проявлении проблемы;
• любую информацию, которая поможет воспроизвести или диагностировать проблему, в том числе материалы, подтверждающие сведения об уязвимости, если такие есть; а также
• информацию о том, были ли, по вашему мнению, данные об уязвимости опубликованы или известны третьим лицам. Перед отправкой зашифруйте информацию с помощью нашего ключа PGP/GPG.

Перед отправкой зашифруйте информацию с помощью нашего ключа PGP/GPG.

4. Согласованное предоставление информации об уязвимости несколькими лицами

Мы руководствуемся правилами и рекомендациями FIRST относительно согласования действий и предоставления информации об уязвимости несколькими лицами. Аналитики, которые желают сообщить об уязвимости, касающейся нескольких заинтересованных сторон, получить помощь в процессе и скоординировать действия с несколькими сторонами, могут обратиться к нам. Если мы подтвердим получение информации об уязвимости, мы сделаем всё возможное, чтобы оказать помощь и выступить в качестве координатора.

5. Применение для продуктов и услуг

Данный пункт применяется ко всем продуктам, для которых еще выходят стандартные или ограниченные обновления, в том числе к изделиям указанных ниже серий. Мы также принимаем отчеты об уязвимостях на всех наших веб-страницах и в облачных службах. Условия этой политики раскрытия информации об уязвимостях не распространяются на продукты и услуги, у которых закончился срок службы. Список продуктов, на которые распространяются условия политики:

• Сетевые устройства хранения: Персональный мобильный накопитель ibi, My Cloud, My Cloud Home: My Passport Wireless и iXpand
• Накопители профессионального уровня: G-DRIVE, G-RAID
• WD BLACK
• Внешние накопители: My Book, My Passport, WD EasyStore и WD Elements
• Внутренние диски, твердотельные накопители и встроенные флеш-накопители
• Приложения для компьютеров и мобильных устройств: EdgeRover и SanDisk Memory Zone
• Флеш-накопители USB
• Портативные накопители 
• Карты памяти

Чтобы получить дополнительную информацию о жизненном цикле поддержки продуктов, перейдите на перечисленные далее страницы.
SanDisk: https://kb.sandisk.com/app/answers/detail/a_id/22809
G-Technology: https://support.g-technology.com/downloads.aspx?lang=en
Продукты WD: https://www.westerndigital.com/ru-ru/support/software/software-life-cycle-policy

6. Наши обязательства

При сотрудничестве с нами в соответствии с настоящими условиями примите во внимание перечисленные далее факторы:

• На сегодняшний день мы не предлагаем программу вознаграждения за обнаружение уязвимости и не участвуем в таких программах. Мы отклоняем запросы на получение вознаграждения, рекламных материалов и доверенностей помимо того, что предусмотрено в процессе публикации бюллетеней по безопасности.
• Мы изначально подтверждаем отчет об уязвимости в течение 3 рабочих дней с момента получения и предоставляем номер для отслеживания.
• Мы отправляем подтверждение о начале работы над отчетом об уязвимости в течение 30 дней с даты первоначального подтверждения с указанием предполагаемого срока выпуска исправления. Если мы не примем отчет, то укажем причину такого решения и будем готовы рассмотреть новую информацию, связанную с таким отчетом.
• После подтверждения наличия уязвимости, о которой сообщалось в отчете, наши инженеры начинают работать над разработкой соответствующих исправлений.
• Иногда уязвимость не удается устранить в течение 90 дней. Если необходимое время превышает стандартный период соблюдения конфиденциальности, мы свяжемся с вами, чтобы продлить период соблюдения конфиденциальности или порекомендуем другое решение. Устранение уязвимости зависит от ряда факторов.
  
  • Разница в сроках устранения неполадок между нашей компанией и поставщиками
  • Необходимость внесения значительных изменений в архитектуру для устранения уязвимости
  • Сложные или расширенные требования к подтверждению, связанные с необходимостью внесения изменений во встроенную программу на нижнем уровне, например, для устранения уязвимости встроенной программы жесткого диска или твердотельного накопителя
• Мы публикуем бюллетени по безопасности по собственному усмотрению с целью предоставления информации о безопасности нашим клиентам и общественности. Если вы обнаружили уязвимость и сообщили о ней, мы предлагаем указать ваше имя в бюллетене по безопасности и CVE в следующих случаях:
  • уязвимость, о которой вы сообщили, влияет на работу устройства Western Digital, которое на данный момент поддерживается;
  • мы внесли изменения в код или конфигурацию в результате обнаружения уязвимости;
  • вы сообщили об уязвимости первым;
  • вы проводили анализ в соответствии с настоящими условиями;
  • вы согласны на упоминание вашего имени.

7. Наши ожидания

Вы участвуете в нашей программе обнаружения уязвимостей, руководствуясь принципами добросовестности и взаимного доверия, а потому мы просим вас о следующем:

• Соблюдайте правила, в том числе описанные в данном документе и других применимых соглашениях. В случае расхождений между данными условиями и любыми другими применимыми условиями приоритет имеют настоящие условия.
• Незамедлительно сообщайте о любой найденной уязвимости.
• Делайте все возможное, чтобы избежать нарушений конфиденциальности, отрицательного воздействия на работу пользователей, перерывов в работе производственных систем и потери данных при тестировании систем безопасности. В частности, запрещены следующие действия:
  
  • наносить потенциальный или фактический ущерб пользователям, системам и приложениям, включая такой, который возникает в результате испытаний с нарушением работы, например, отказа в обслуживании;
  • использовать уязвимости для несанкционированного просмотра или повреждения данных;
  • проводить атаки, которые влияют на наш персонал, имущество, центры обработки данных, партнеров и аффилированных лиц;
  • пытаться использовать социотехнические системы и предоставлять некорректную информацию о вашей принадлежности к организациям и полномочиях нашим сотрудникам, подрядчикам или аффилированным лицам с целью получения доступа к нашим активам;
    
  • нарушать какие-либо законы или соглашения с целью обнаружения уязвимости.
    
• Проводите анализ уязвимостей только тех изделий, которые указаны в разделе Применение для продуктов и услуг.
• Чтобы сообщить об уязвимости системы безопасности, используйте только предусмотренный процесс отправки отчетов об уязвимостях.
  
• Не разглашайте информацию о любых найденных уязвимостях, пока мы не устраним неполадки и не опубликуем бюллетень по безопасности. Не разглашайте информацию в течение периода соблюдения конфиденциальности.
• Если в результате обнаружения уязвимости вы можете получить несанкционированный доступ к данным, вам следует придерживаться следующих правил:
  
  • получите доступ к минимальному объему данных, необходимому для эффективного сбора информации, подтверждающей сведения об уязвимости; и
  • прекратите испытания и незамедлительно отправьте отчет, если во время испытаний вы обнаружили данные пользователей, такие как данные, позволяющие идентифицировать личность (PII), персональные медицинские данные (PHI), данные кредитных карт и конфиденциальную информацию.
• Используйте только ваши собственные тестовые учетные записи или учетные записи, на использование которых вы получили явное разрешение владельца.

8. Заявление об ограничении ответственности

Правила раскрытия информации об уязвимости могут время от времени изменяться. Ознакомьтесь с текстом этих правил, прежде чем отправлять отчет об уязвимости. На отчеты об обнаружении уязвимостей распространяются условия, опубликованные на дату первоначального подтверждения.

9. История изменений

Опубликовано: 15.10.2021
Версия: 1.1

10. Материалы

Данные правила сформулированы на основе рекомендаций, представленных в документах ISO 29147 и 30111.
Мы благодарим disclose.io за предоставленные в рамках Creative Commons CC-0 план и текст, которые оказались очень полезны при создании нашей политики в отношении раскрытия информации об уязвимостях.