Destek Product Security

Destek

Western Digital Güvenlik Açığı İfşa Politikası

1. Giriş

Western Digital PSIRT’ın (Ürün Güvenliği Olay Müdahale Ekibi) önemli bir amacı, Western Digital ürünlerinin son kullanıcılarının güvenliğini korumaktır. Western Digital Güvenlik Açığı İfşa Politikası, iyi niyetli davranmak ve sorumlu güvenlik açığı araştırmasına ve ifşasına katılım sağlamak için güvenlik araştırmacılarını ve genel halkı bilgi vermeye teşvik eder. Bir güvenlik açığı, veri ifşası veya başka bir güvenlik sorunu ile karşılaştığınızı düşünüyorsanız, bize bildirmenizi isteriz. Bu politika, güvenlik açıklarını bize bildirme adımlarını özetler, potansiyel güvenlik açıklarını bulma ve bildirme bağlamında Western Digital'ın iyi niyet tanımını açıklığa kavuşturur ve karşılığında araştırmacıların Western Digital'den neler bekleyebileceklerini açıklar.

2. Tanımlar

  1. Gizlilik Süresi: Güvenlik açığı raporunuzu kabul etmemiz durumunda, ilk bildirimin alınmasından sonraki 90 gün içinde düzeltme çalışmasını tamamlamayı ve bir düzeltme yayınlamayı amaçlarız. Güvenlik açığını doğrulamak için ek bilgi gerekirse, sizinle iletişime geçeriz. Üç deneme sonrasında bir yanıt alamazsak, dosyayı kapatabiliriz ancak gelecekteki iletişimleri memnuniyetle karşılarız.
  2. Güvenlik Bültenleri: Güvenlik Bültenlerimiz şurada yayınlanır:
    https://www.westerndigital.com/support/productsecurity
  3. Siz / Güvenlik Açığını Bildiren Kişi: bir güvenlik açığı bildirimini yapan birey, kurum veya belirli grup.
  4. Biz / Bize: Bu politika kapsamında "biz", tüm Western Digital demektir ve aşağıdaki markalarımızı kapsar: Western Digital, WD, SanDisk, SanDisk Professional, HGST ve G-Technology.
  5. Resmi Bildirim Kanalı: güvenlik açığı ifşaları hakkında iletişim sağlanacak iletişim kanallarıdır: PSIRT@wdc.com.
  6. İlk Bildirimin Alınması: PSIRT bölümüne yaptığınız bildirimi almamızdan sonra, bir dosya numarası ve 90 günlük bir ifşa süresiyle size geri dönüş sağladığımız tarihtir.

3. Güvenlik Açığı Bildirme Talimatları

Bir Western Digital ürününde veya hizmetinde bulduğunuzu düşündüğünüz bir güvenlik sorununu bildirmek için bulgularınızın ayrıntılarını lütfen resmi bildirim kanalımıza e-posta ile gönderin. Diğer e-posta adreslerine gönderilen mesajlar geç geri dönüşe neden olabilir.
Mümkünse lütfen aşağıdaki bilgileri ekleyin:

  • İlgili tüm sürüm numaraları dahil olmak üzere etkilenen belli ürün(ler) veya hizmet(ler);
  • Sorunun etkisi hakkında ayrıntılar;
  • Sorunu yeniden oluşturmaya veya teşhis etmeye yardımcı olabilecek ve varsa bir Kavram Kanıtı (PoC) içeren her türlü bilgi ve
  • Güvenlik açığının önceden halka açık şekilde ifşa edildiğini veya üçüncü taraflarca bilindiğini düşünüp düşünmediğiniz. Bilgileri göndermeden önce şifrelemek için lütfen PGP/GPG anahtarımızı kullanın.

Bilgileri göndermeden önce şifrelemek için lütfen PGP/GPG anahtarımızı kullanın.

4. Çok Taraflı Koordineli Güvenlik Açığı İfşası

Çok Taraflı Güvenlik Açığı Koordinasyonu ve İfşası için İLK Yönergeler ve Uygulamaları takip ederiz. Çok taraflı bir güvenlik açığını bildirmek isteyen ancak, süreci yönlendirmek veya zarara açık birden çok tarafı koordine etmek için yardıma ihtiyaç duyan araştırmacılar bizimle iletişime geçebilir. Güvenlik açığının kabul edildiğini onaylarsak, rehberlik sunabilir veya koordinatör olarak hareket edebiliriz.

5. Ürün ve Hizmet Kapsamı

Aşağıda bahsedilen ürün aileleri dahil olmak üzere, hâlâ güncel ve sınırlı güncelleme döneminde olan tüm ürünlerdir. Ayrıca tüm web sayfalarımızdan ve bulut hizmetlerimizden gelen güvenlik açığı bildirimlerini de kabul ediyoruz. Kullanım ömrü sona eren tüm ürün ve hizmetler, bu güvenlik açığı ifşa politikasının kapsamı dışındadır. Şu anda kapsama dahil olan ürünlerin listesi şöyledir:

  • Ağa Bağlı Depolama: My Cloud Home, My Cloud, ibi Kişisel Mobil Depolama: My Passport Wireless ve iXpand
  • Profesyonel Depolama: G-DRIVE, G-RAID
  • WD BLACK
  • Harici Depolama: My Book, My Passport, WD EasyStore ve WD Elements
  • Dahili Diskler, SSD’ler ve Gömülü Flash
  • Masaüstü ve Mobil Uygulamalar: EdgeRover ve SanDisk Memory Zone
  • USB Flash Diskler
  • Taşınabilir Diskler 
  • Bellek Kartları


Ürünlerimizin destek ömürleri hakkında daha fazla bilgi için aşağıya bakın:
SanDisk: https://kb.sandisk.com/app/answers/detail/a_id/22809
G-Technology: https://support.g-technology.com/downloads.aspx?lang=en
WD Products: https://www.westerndigital.com/tr-tr/support/software/software-life-cycle-policy

6. Taahhütlerimiz

Bizimle çalışırken, bu politikaya göre:

  • Şimdilik yazılım hatası bulma ödül programı sunmuyoruz veya sürmekte olanlara katılmıyoruz. Ödül ödemesi, promosyon malzemesi veya Güvenlik Bültenimizde yayınlama yöntemi haricindeki övgü isteklerini kabul etmiyoruz.
  • Güvenlik açığı bildiriminizi aldıktan sonra 3 iş günü içinde ilk olarak onaylayacağız ve bir takip numarası vereceğiz.
  • İlk bildirimi almamızdan sonra 30 gün içinde bir güvenlik açığı kabul onayı göndereceğiz ve hatanın düzeltilmesi için öngörülen tarihi ekleyeceğiz. Bildirimi kabul etmezsek, sebeplerimizi sunacak ve bildirimle ilgili yeni bilgiler için iletişime açık olacağız.
  • Bildirilen güvenlik açığı doğrulandığında, mühendislerimiz uygun düzetmeyi/düzeltmeleri geliştirmek üzere çalışacaklardır.
  • Bazen 90 gün zaman aralığında çözülemeyen güvenlik açıkları vardır. Normal gizlilik süresinden daha uzun zaman gerekirse, gizlilik süresini uzatmak veya başka tavsiyelerde bulunmak için sizinle birlikte çalışacağız. Çözüm şunlara bağlı olabilir:
    • Bizimkinden farklı çözüm zaman aralıkları olan üretim malzemesi satıcıları.
    • Güvenlik açığını gidermek için gereken önemli mimari değişiklikler.
    • Sabit disk veya SSD üretici yazılımı için güvenlik açıkları gibi düşük seviye üretici yazılımı değişikliklerinden kaynaklanan, karmaşık veya genişletilmiş doğrulama gereksinimleri.
  • Müşterilerimize ve kamuoyuna güvenlik bilgileri sağlamak için kendi takdirimize bağlı olarak Güvenlik Bültenleri yayımlıyoruz. Güvenlik açığını bulduğunuz ve bildirdiğiniz için ilgili Güvenlik Bülteni veya CVE’de size teşekkür edeceğiz, eğer:
    • Bildirilen güvenlik açığı şu anda desteklenen bir Western Digital ürününü etkiliyorsa,
    • Soruna bağlı olarak bir kod veya yapılandırma değişikliği yaparsak,
    • Sorunu bildiren ilk kişi olursanız,
    • Araştırmanız bu politika ile uyumlu yürütülüyorsa ve
    • Teşekkürü kabul ediyorsanız.

7. Beklentilerimiz

Güvenlik açığı açıklama programımıza iyi niyetle katılırken, sizden aşağıdakileri istiyoruz.

  • Bu politikayı ve diğer ilgili anlaşmaları takip etmek dahil olmak üzere kurallara göre oynayın. Bu politika ile diğer geçerli koşullar arasında herhangi bir tutarsızlık olması durumunda, bu politikanın koşulları geçerli olacaktır.
  • Bulduğunuz herhangi bir güvenlik açığını hemen bildirin.
  • Güvenlik testi sırasında gizlilik ihlallerini, kullanıcı deneyiminin bozulmasını, üretim sistemlerinin kesintiye uğramasını ve verilerin yok edilmesini önlemek için her türlü çabayı gösterin. Özellikle:
    • Hizmet Engellemeleri gibi yıkıcı test etme yöntemleri dahil olmak üzere, kullanıcılarımıza, sistemlerimize veya uygulamalarımıza potansiyel veya fiili zarar vermeyin.
    • İzinsiz veri görüntülemek veya herhangi bir veriyi bozmak için bir güvenlik açığından faydalanmayın.
    • Çalışanlarımızı, mülkümüzü, veri merkezlerimizi, iş ortaklarımızı ve iştiraklerimizi hedef alan saldırılar düzenlemeyin.
    • Varlıklarımıza erişmek için çalışanlarımıza, yüklenicilerimize veya iştiraklerimize sosyal mühendislik girişimleri yapmayın veya bağlantınızı veya yetkinizi başka şekilde yanlış tanıtmayın.
    • Güvenlik açıklarını bulmak için herhangi bir kanunu çiğnemeyin veya herhangi bir anlaşmayı ihlal etmeyin.
  • Yalnızca yukarıda Ürün ve Hizmet Kapsamı altında tanımlanan ürün kapsamında araştırma yapın.
  • Güvenlik açıklarını bize sadece güvenlik açığı bildirme sürecimiz yoluyla iletin.
  • Bulduğunuz tüm güvenlik açıklarıyla ilgili bilgileri, biz sorunu çözene ve bir güvenlik bülteni yayınlanıncaya kadar gizli tutun. Gizlilik süresi dışında bilgi açıklamayın.
  • Bir güvenlik açığı verilere istenmeyen erişim sağlıyorsa:
    • Eriştiğiniz verilerin miktarını etkili bir kavram kanıtı göstermek için gereken minimum düzey ile sınırlandırın ve
    • Test sırasında Kişisel Tanımlanabilir Bilgiler (Personally Identifiable Information - PII), Kişisel Sağlık Bilgileri (Personal Healthcare Information - PHI), kredi kartı verileri veya özel bilgiler gibi herhangi bir kullanıcı verisiyle karşılaşırsanız, testi sonlandırın ve derhal bir bildirim gönderin.
  • Sadece kendi test hesaplarınızla veya hesap sahibinden açık izin aldığınız hesaplarla etkileşime girin.

8. Açıklama

Güvenlik Açığı İfşa Politikasını zaman zaman güncelleyebiliriz. Lütfen güvenlik açığı bildirimlerini göndermeden önce bu politikayı inceleyin. İfşalar, ilk bildirimin alınması esnasında yayımlanmış olan bu politika versiyonuna tabi olacaktır.

9. Değişiklik Geçmişi

Yayımlanma tarihi: 15.10.2021
Sürüm: 1.1

10. Referanslar

Bu politika, ISO Belgeleri 29147 ve 30111'de sunulan yönergelere dayanır.
Güvenlik Açığı İfşa Politikamızı oluşturmada çok yardımcı olan taslakları ve Creative Commons CC-0 altında sağlanan metinleri için disclose.io’ya teşekkür ederiz.