1. Pengantar

Tujuan utama Tim Tanggap Insiden Keamanan Produk (PSIRT) Western Digital adalah untuk melindungi keamanan pengguna akhir produk Western Digital. Kebijakan Pengungkapan Kerentanan Western Digital mendukung masukan dari peneliti keamanan dan masyarakat umum, agar bertindak dengan iktikad baik dan terlibat dalam penelitian dan pengungkapan kerentanan yang bertanggung jawab. Jika Anda meyakini telah menemukan suatu kerentanan, data tak terlindung, atau masalah keamanan lainnya, kami ingin mendengarkan masukan Anda. Kebijakan ini menguraikan langkah-langkah untuk melaporkan kerentanan kepada kami, memperjelas definisi iktikad baik Western Digital dalam konteks menemukan dan melaporkan potensi kerentanan, serta menjelaskan apa yang bisa diharapkan oleh peneliti dari Western Digital sebagai balasannya.

2. Definisi

1. Kami: Dalam kebijakan ini, "kami" berarti semua pihak Western Digital dan mencakup merek-merek kami.
2. Anda/Pelapor Kerentanan: individu, organisasi, atau grup terbatas yang mengungkapkan laporan kerentanan.
3. Interval Kerahasiaan: Jika dan ketika kami menerima laporan kerentanan Anda, tujuan kami adalah menyelesaikan pekerjaan pemulihan dan merilis perbaikan dalam 90 hari sejak diketahui pertama kalinya. Jika diperlukan informasi tambahan untuk mengonfirmasi kerentanan, kami akan menghubungi Anda. Jika kami tidak menerima tanggapan setelah 3 percobaan, kami mungkin menutup kasusnya, tetapi kami masin bersedia menerima komunikasi di kemudian hari.
4. Buletin Keamanan: Buletin Keamanan kami diposting di sini:
   https://www.westerndigital.com/support/productsecurity
5. Saluran Pelaporan Resmi: saluran komunikasi untuk menyampaikan pengungkapan kerentanan: PSIRT@wdc.com.
6. Pengakuan Awal: Ini adalah tanggal kami menanggapi setelah menerima laporan Anda kepada PSIRT dengan nomor kasus dan tanggal pengungkapan 90 hari.

3. Petunjuk Pelaporan Kerentanan

Untuk melaporkan masalah keamanan yang Anda yakini telah Anda temukan di produk atau layanan Western Digital, silakan kirim detail penemuan Anda melalui email ke saluran pelaporan resmi kami. Pesan yang dikirim ke alamat email lain dapat menyebabkan tertundanya balasan.

Informasi yang diperlukan:

• Produk tertentu dan nomor versi; atau
• Untuk Layanan, berikan layanan dan/atau URL spesifik termasuk stempel waktu masalah yang dilaporkan; dan
• Langkah-langkah untuk menghasilkan kembali masalah, termasuk Bukti Konsep (PoC);

Disarankan:

• Berikan referensi CWE yang relevan, jika ada;
• Apakah Anda yakin bahwa kerentanan tersebut sudah diungkapkan kepada publik atau diketahui oleh pihak ketiga.

Anda dapat mengenkripsi informasi sebelum mengirimnya dengan menggunakan kunci PGP/GPG kami.

4. Pengungkapan Kerentanan Terkoordinasi Multi-Pihak

Kami mengikuti Panduan dan Praktik PERTAMA untuk Pengungkapan dan Koordinasi Kerentanan Multi-Pihak.

5. Cakupan Produk dan Layanan

Kami menerima Laporan Keamanan tentang semua produk berbasis HDD dan platform Western Digital serta layanan cloud terkait yang tidak berada di akhir pembaruan/dukungan. Semua produk dan layanan yang sudah melewati akhir pembaruan/dukungan tidak dicakup dalam kebijakan pengungkapan kerentanan ini.

6. Di Luar Cakupan

Pemindaian Kerentanan Produk

• PSIRT tidak menerima Laporan Pemindaian Kerentanan pada perangkat kami, tanpa Bukti Konsep.

Untuk laporan produk berbasis flash Western Digital, lihat Kebijakan Pengungkapan Kerentanan SanDisk.

Kami juga menerima laporan kerentanan di saluran dunia maya kami, yaitu westerndigital.com, silakan kirim laporan ini ke websecurity@wdc.com.

Kerentanan Web yang Diterima:

• 10 kategori kerentanan teratas OWASP
• Kerentanan lain dengan dampak yang terlihat

Kerentanan Web yang Tidak Diterima:

• Kerentanan teoretis
• Pengungkapan informasi data non-sensitif
• Dampak rendah/kemungkinan kecil kerentanan eksploitasi

7. Komitmen Kami

Ketika bekerja sama dengan kami, sesuai dengan kebijakan ini:

• Kami saat ini tidak menawarkan atau berpartisipasi dalam program bug bounty apa pun. Kami tidak menyetujui permintaan untuk pembayaran bounty (hadiah), materi promosi, atau kredit di luar proses publikasi Buletin Keamanan kami.
• Kami akan mengakui laporan kerentanan Anda dalam 3 hari kerja sejak menerimanya, dan kami akan memberikan nomor pelacakan.
• Kami akan mengirim konfirmasi penerimaan kerentanan dalam 30 hari sejak pengakuan awal, dan kami akan menyertakan usulan tenggat waktu perbaikan. Jika kami tidak menerima laporan tersebut, kami akan memberikan alasannya dan akan bersikap terbuka menerima informasi baru tentang laporan tersebut.
• Setelah kerentanan yang dilaporkan dikonfirmasi, teknisi kami akan bekerja keras dalam mengembangkan perbaikan yang sesuai.
• Kadang-kadang, ada kerentanan yang tidak dapat diselesaikan dalam waktu 90 hari. Jika diperlukan waktu lebih lama dibandingkan interval kerahasiaan normal, kami akan bekerja sama dengan Anda untuk memperpanjang interval kerahasiaan atau memberitahukan sebaliknya. Resolusi dapat tergantung pada:
  
  • Vendor hulu dengan kerangka waktu resolusi yang berbeda dengan kami.
  • Perubahan arsitektur penting yang diperlukan untuk mengatasi kerentanan.
  • Kebutuhan validasi yang kompleks atau lebih lama yang diakibatkan oleh perubahan firmware tingkat bawah seperti untuk kerentanan firmware hard drive.
• Kami mempublikasikan Buletin Keamanan atas pertimbangan kami sendiri untuk memberikan informasi keamanan kepada pelanggan dan masyarakat. Kami akan menawarkan penghargaan kepada Anda karena telah menemukan dan melaporkan kerentanan pada Buletin Keamanan terkait dan CVE jika:
  • Kerentanan yang dilaporkan memengaruhi produk Western Digital yang didukung saat ini,
  • Kami membuat kode atau perubahan konfigurasi berdasarkan masalah tersebut,
  • Anda merupakan orang pertama yang melaporkan masalah tersebut,
  • Penelitian Anda dilakukan sesuai dengan kebijakan ini, dan
  • Anda setuju dengan penghargaan tersebut.
• Kami tidak memublikasikan saran untuk peningkatan keamanan umum dan perbaikan pemrograman defensif yang tidak memiliki dampak keamanan yang telah terbukti.

8. Harapan Kami

Saat berpartisipasi dalam program pengungkapan kerentanan kami dengan iktikad baik, kami meminta hal berikut dari Anda.

• Bermain sesuai aturan, termasuk mengikuti kebijakan ini dan kesepakatan lain yang terkait. Jika ada inkonsistensi antara kebijakan ini dan ketentuan lain yang berlaku, ketentuan kebijakan ini akan berlaku.
• Segera laporkan setiap kerentanan yang telah Anda temukan.
• Berusahalah untuk tidak melanggar privasi, memperburuk pengalaman pengguna, mengganggu sistem produksi, dan merusak data selama pengujian keamanan. Terutama:
  
  • Jangan menyebabkan potensi kerusakan atau kerusakan yang sesungguhnya pada pengguna, sistem, atau aplikasi kami, termasuk melalui pengujian merusak seperti Penolakan Layanan (Denials of Service).
  • Jangan menyalahgunakan kerentanan untuk melihat data yang tidak diizinkan atau merusak data apa pun.
  • Jangan melakukan serangan yang menyasar personel, properti, pusat data, mitra, dan afiliasi kami.
  • Jangan melakukan percobaan rekayasa sosial atau menyalahartikan afiliasi atau otorisasi Anda yang terkait dengan karyawan, kontraktor, atau afiliasi kami untuk mengakses aset kami.
    
  • Jangan melanggar undang-udang atau perjanjian apa pun untuk menemukan kerentanan.
    
• Hanya lakukan penelitian di dalam cakupan produk yang ditentukan di atas di bawah Cakupan Produk dan Layanan.
• Sampaikan kerentanan keamanan kepada kami hanya melalui proses pelaporan kerentanan kami.
  
• Tetap rahasiakan informasi tentang setiap kerentanan yang telah Anda temukan hingga kami telah berhasil mengatasi masalah tersebut dan buletin keamanan dipublikasikan. Jangan mengungkapkan informasi di luar interval kerahasiaan.
• Jika suatu kerentanan menyediakan akses tidak sengaja ke data:
  
  • Batasi jumlah data yang Anda akses seminimum mungkin sesuai yang diperlukan untuk memperlihatkan bukti konsep secara efektif; dan
  • Berhenti melakukan pengujian dan segera mengirim laporan jika Anda menemui data pengguna selama pengujian, seperti Informasi Pengidentifikasi Pribadi (PII), Informasi Perawatan Kesehatan Pribadi (PHI), data kartu kredit, atau informasi rahasia.
• Hanya berinteraksi dengan akun pengujian yang Anda miliki atau akun di mana Anda memiliki izin jelas dari pemilik akun.

9. Penafian

Kami dapat memperbarui Kebijakan Pengungkapan Kerentanan sewaktu-waktu. Harap tinjau kebijakan ini sebelum mengirim laporan kerentanan. Pengungkapan diatur oleh versi kebijakan ini yang dipublikasikan saat pengakuan awal.

10. Riwayat Perubahan

Dipublikasikan: 17 Maret 2025
Versi: 2.0

11. Referensi

Kebijakan ini berdasarkan pada panduan yang disajikan di Dokumen ISO 29147 & 30111.
Terima kasih kepada disclose.io atas garis besar dan teks yang diberikan di bawah Creative Commons CC-0 karena itu sangat bermanfaat dalam menyusun Kebijakan Pengungkapan Kerentanan kami.