1. Úvod

Důležitým cílem týmu Western Digital PSIRT (Product Security Incident Response Team), který reaguje na bezpečnostní incidenty týkající se produktů, je chránit bezpečnost koncových uživatelů produktů společnosti Western Digital. Zásady společnosti Western Digital pro nahlašování zranitelností se snaží podpořit výzkumníky v oblasti bezpečnosti i širokou veřejnost, aby jednali v dobré víře a při výzkumu a nahlašování zranitelností se chovali zodpovědně. Pokud si myslíte, že jste objevili zranitelnost, nechráněná data nebo jiný bezpečnostní problém, chceme, abyste nám to oznámili. Tyto zásady popisují kroky k ohlašování zranitelností, objasňují, jak společnost Western Digital definuje jednání v dobré víře v kontextu odhalování a ohlašování potenciálních zranitelností, a vysvětlují, co za to mohou výzkumníci od společnosti Western Digital očekávat.

2. Definice

1. My/nám: V těchto zásadách označuje „my“ celou společnost Western Digital včetně všech našich značek.
2. Vy / oznamovatel zranitelnosti: jednotlivec, organizace nebo omezená skupina nahlašující zranitelnost.
3. Období mlčenlivosti: V případě, že vaše hlášení o zranitelnosti přijmeme, je naším cílem dokončit práce na nápravě a vydat opravu do 90 dnů od úvodního potvrzení. Pokud budeme potřebovat k potvrzení zranitelnosti další informace, budeme vás kontaktovat. Pokud od vás ani po třech pokusech nedostaneme žádnou odpověď, můžeme případ uzavřít, ale stále budeme rádi, když se nám v budoucnosti ozvete.
4. Bezpečnostní zpravodaje: Naše bezpečnostní zpravodaje publikujeme zde:
   https://www.westerndigital.com/support/productsecurity
5. Oficiální oznamovací kanál: Komunikační kanál pro komunikaci o nahlašování zranitelností: PSIRT@wdc.com.
6. Úvodní potvrzení: Toto je datum, kdy po přijetí vašeho hlášení pro tým PSIRT odpovíme s číslem případu a datem 90denního období nahlášení.

3. Pokyny pro ohlašování zranitelností

Pokud chcete nahlásit bezpečnostní problém, který jste podle vás v produktu nebo službě společnosti Western Digital objevili, pošlete prosím e-mail s podrobnostmi o svém objevu na náš oficiální oznamovací kanál. Zprávy poslané na libovolnou jinou e-mailovou adresu mohou mít za následek opožděnou reakci.

Požadované údaje:

• konkrétní produkty a čísla verzí, nebo
• u služeb uveďte konkrétní službu či adresu URL včetně časového razítka ohlášeného problému a
• kroky k reprodukci problému včetně zkušebního provedení (PoC).

Doporučené:

• Uveďte veškeré relevantní reference CWE, jsou-li k dispozici,
• zda si myslíte, že je tato zranitelnost již veřejně známá nebo známá třetím stranám.

Údaje můžete před odesláním zašifrovat pomocí našeho klíče PGP/GPG.

4. Koordinované nahlašování zranitelností několika stran

Řídíme se pokyny a postupy pro koordinaci a nahlašování zranitelností několika stran organizace FIRST.

5. Dotčené produkty a služby

Přijímáme bezpečnostní hlášení o všech pevných discích a platformách a souvisejících cloudových službách společnosti Western Digital, u nichž nedošlo k ukončení aktualizací/podpory. Tyto zásady pro ohlašování zranitelností se nevztahují na žádné produkty a služby, které již nejsou aktualizovány/podporovány.

6. Mimo působnost

Skenování zranitelností produktu

• Tým PSIRT nepřijímá hlášení o skenování zranitelností našich zařízení bez zkušebního provedení.

Hlášení o flash pamětech Western Digital naleznete v zásadách nahlašování zranitelností společnosti SanDisk.

Vítáme také hlášení o zranitelnosti týkající se naší přítomnosti na internetu (tzn. westerndigital.com), posílejte je na adresu websecurity@wdc.com.

Přijímané webové zranitelnosti:

• 10 hlavních kategorií zranitelností podle organizace OWASP
• Další zranitelnosti s prokázaným dopadem

Nepřijímané webové zranitelnosti:

• Teoretické zranitelnosti
• Informační zpřístupnění necitlivých údajů
• Zranitelnosti s malým dopadem / malou pravděpodobností zneužití

7. Naše závazky

Když s námi budete spolupracovat, platí tyto zásady:

• V současné době nenabízíme ani se neúčastníme žádných programů nabízejících odměny za nalezení chyb. Neuznáváme žádosti o peněžní odměny, propagační materiály nebo nějakou formu uznání kromě procesu publikace v našich bezpečnostních zpravodajích.
• Do tří pracovních dnů od přijetí vašeho hlášení o zranitelnosti vám zašleme jeho úvodní potvrzení a poskytneme vám sledovací číslo.
• Do 30 dnů od našeho úvodního potvrzení vám pošleme potvrzení o přijetí zranitelnosti, jehož součástí bude i navržená lhůta pro její opravu. Pokud vaše hlášení nepřijmeme, vysvětlíme vám naše důvody a zůstaneme otevření novým informacím k tomuto hlášení.
• Jakmile nahlášenou zranitelnost potvrdíme, naši odborníci začnou pracovat na vývoji příslušných oprav.
• Někdy se může stát, že zranitelnost nepůjde vyřešit během 90denní lhůty. Pokud bude potřeba získat více času než nabízí obvyklé období mlčenlivosti, pokusíme se s vámi dohodnout na prodloužení období mlčenlivosti nebo na jiném řešení. Řešení může záviset na:
  
  • dalších dodavatelích, kteří mají jiné lhůty na řešení než my,
  • zásadních změnách architektury, které jsou nutné k vyřešení zranitelnosti,
  • složitých nebo rozsáhlých požadavcích na ověření kvůli nízkoúrovňovým změnám firmwaru (např. u zranitelností firmwaru pevných disků).
• Podle svého uvážení publikujeme bezpečnostní zpravodaje, abychom svým zákazníkům i veřejnosti poskytovali informace o bezpečnosti. Nabídneme vám uznání za nalezení a ohlášení zranitelnosti v příslušném bezpečnostním zpravodaji a CVE v případě, že:
  • ohlášená zranitelnost se týká aktuálně podporovaného produktu společnosti Western Digital,
  • provedeme na základě tohoto problému změnu kódu nebo konfigurace,
  • jste první, kdo tento problém nahlásil,
  • váš výzkum je proveden v souladu s těmito zásadami,
  • souhlasíte s vyjádřením tohoto uznání.
• Nezveřejňujeme doporučení týkající se obecných vylepšení zabezpečení a oprav obranného programování, které nemají prokázaný dopad na zabezpečení.

8. Naše očekávání

Abyste se účastnili našeho programu nahlašování zranitelností v dobré víře, žádáme od vás dodržování následujících bodů.

• Hrajte podle pravidel, včetně dodržování těchto zásad a všech dalších příslušných dohod. Pokud dojde k nějakému nesouladu mezi těmito zásadami a jinými příslušnými podmínkami, mají přednost podmínky v těchto zásadách.
• Bez zbytečného odkladu ohlaste každou zranitelnost, kterou objevíte.
• Udělejte vše pro to, aby během testování bezpečnosti nedošlo k narušení soukromí, zhoršení uživatelské spokojenosti, narušení produkčních systémů a zničení dat, a zejména:
  
  • nezpůsobte potenciální nebo skutečnou škodu našim uživatelům, systémům nebo aplikacím, a to ani rušivými testy, jako je například útok na dostupnost služby (DoS),
  • nezneužívejte zranitelnosti k zobrazování neautorizovaných dat nebo k poškození jakýchkoli dat,
  • neprovádějte útoky zaměřené na naše zaměstnance, majetek, datová centra, partnery a přidružené společnosti,
  • neprovádějte pokusy o sociální inženýrství ani nijak neuvádějte v omyl naše zaměstnance, dodavatele nebo přidružené společnosti ohledně vaší příslušnosti nebo oprávnění, abyste získali přístup k našim prostředkům,
    
  • neporušujte žádné zákony ani dohody, abyste objevili zranitelnosti.
    
• Výzkum provádějte pouze na dotčených produktech definovaných v části Dotčené produkty a služby.
• Komunikujte s námi o bezpečnostních zranitelnostech výhradně prostřednictvím našeho procesu nahlašování zranitelností.
  
• Informace o zranitelnostech, které jste objevili, udržujte v tajnosti, dokud problém nevyřešíme a nepublikujeme bezpečnostní zpravodaj. Nenahlašujte informace mimo období mlčenlivosti.
• Pokud zranitelnost poskytne nezamýšlený přístup k datům:
  
  • omezte množství dat, ke kterým budete přistupovat, na minimum nutné pro účinné prokázání zkušebního provedení
  • a ukončete testování a okamžitě odešlete hlášení, pokud se během testování setkáte s libovolnými uživatelskými daty, například osobními údaji, osobními údaji o zdravotní péči, údaji o kreditních kartách nebo soukromými informacemi.
• Provádějte interakce pouze s vašimi vlastními testovacími účty nebo s účty, ke kterým máte výslovné svolení od majitele účtu.

9. Vyloučení odpovědnosti

Tyto zásady nahlašování zranitelností můžeme čas od času aktualizovat. Před odesláním hlášení o zranitelnosti si prosím tyto zásady prostudujte. Nahlašování bude podléhat verzi těchto zásad publikované v době úvodního potvrzení.

10. Historie změn

Publikováno: 17. března 2025
Verze: 2.0

11. Reference

Tyto zásady jsou založeny na pokynech uvedených v dokumentech ISO 29147 a 30111.
Děkujeme organizaci disclose.io za jejich osnovu a text, poskytované pod licencí Creative Commons CC-0, protože nám při přípravě našich zásad velmi pomohly.