1. Wprowadzenie

Ważnym celem zespołu Western Digital PSIRT (Product Security Incident Response Team – zespół ds. incydentów związanych z bezpieczeństwem produktów) jest ochrona bezpieczeństwa użytkowników końcowych produktów Western Digital. Polityka Western Digital informowania o podatnościach ma zachęcać specjalistów ds. bezpieczeństwa oraz opinię publiczną do podejmowania działań w dobrej wierze, angażowania się w odpowiedzialne badania nad podatnościami oraz udzielania informacji w tym zakresie. W przypadku wykrycia podatności, ujawnienia danych lub innych problemów z bezpieczeństwem prosimy o kontakt z nami. Niniejsza polityka określa czynności związane ze zgłaszaniem nam podatności, zawiera definicję działania w dobrej wierze stosowaną przez Western Digital w odniesieniu do odkrywania i zgłaszania potencjalnych podatności oraz wyjaśnia, czego specjaliści mogą w zamian oczekiwać od Western Digital.

2. Definicje

1. My/nas: Na potrzeby niniejszej polityki słowo „my” oznacza całość firmy Western Digital łącznie z jej markami.
2. Ty / osoba zgłaszająca podatność: osoba, organizacja lub grupa przekazująca raport o podatności.
3. Okres zachowania poufności: Po przyjęciu raportu na temat podatności naszym celem jest zakończenie prac naprawczych i publikacja poprawki w ciągu 90 dni od uzyskania informacji o powstaniu błędu. W razie konieczności uzyskania dodatkowych informacji w celu potwierdzenia podatności skontaktujemy się z osobą, która przesłała zgłoszenie. Jeśli 3 próby nawiązania kontaktu pozostaną bez odpowiedzi, możemy zamknąć daną sprawę, jednak nie wpłynie to na sposób traktowania kolejnych informacji przesłanych przez tę samą osobę.
4. Biuletyny bezpieczeństwa: Nasze biuletyny dotyczące bezpieczeństwa są publikowane tutaj:
   https://www.westerndigital.com/support/productsecurity
5. Oficjalny kanał do zgłaszania: kanał do komunikacji dotyczącej podatności: PSIRT@wdc.com.
6. Wstępne zatwierdzenie: To data naszej odpowiedzi po otrzymaniu raportu przesłanego zespołowi PSIRT, z uwzględnieniem numeru sprawy i 90-dniowego okresu zachowania poufności.

3. Instrukcje dotyczące zgłaszania podatności

Aby zgłosić znaleziony potencjalny problem z zabezpieczeniami produktu lub usługi Western Digital, należy wysłać wiadomość e-mail ze szczegółowym opisem znalezionej podatności za pośrednictwem naszego oficjalnego kanału do zgłaszania. Wysłanie wiadomości na jakikolwiek inny adres e-mail może skutkować wydłużeniem czasu reakcji.

Wymagane informacje:

• Określony(-e) produkt(y) i numer(y) wersji; lub
• W przypadku Usług(i) należy podać konkretną usługę i/lub adres URL, w tym znacznik czasowy zgłoszonego problemu; oraz
• Kroki w celu odtworzenia problemu, w tym model koncepcyjny (PoC, ang. Proof of Concept);

Zalecenia:

• Należy podać wszelkie istotne referencje CWE, jeśli są dostępne;
• informacje o tym, czy zdaniem zgłaszającego dana podatność jest już znana opinii publicznej lub stronom trzecim.

Przed wysłaniem informacji można zaszyfrować je za pomocą naszego klucza PGP/GPG.

4. Skoordynowane ujawnianie podatności dotyczących kilku podmiotów

Przestrzegamy wytycznych i praktyk FIRST w zakresie skoordynowanego ujawniania podatności dotyczących kilku podmiotów.

5. Zakres produktów i usług

Akceptujemy raporty bezpieczeństwa dotyczące wszystkich produktów firmy Western Digital opartych na dyskach twardych i platformach oraz powiązanych usług w chmurze, które nie znajdują się w fazie końca aktualizacji/wsparcia. Żadne produkty i usługi w fazie końca cyklu aktualizacji/wsparcia nie są objęte niniejszą polityką informowania o podatnościach.

6. Poza zakresem

Skanowania podatności w produktach

• PSIRT nie akceptuje raportów skanowania podatności dotyczących naszych urządzeń bez modelu koncepcyjnego PoC.

W przypadku raportów dotyczących produktów firmy Western Digital opartych na pamięci flash należy zapoznać się z Polityką ujawniania podatności firmy SanDisk.

Zachęcamy również do zgłaszania podatności dotyczących naszej obecności w Internecie, tj. dotyczących strony westerndigital.com. Prosimy o przesyłanie tych raportów na adres websecurity@wdc.com.

Akceptowane podatności sieciowe:

• Kategorie najważniejszych podatności raportu OWASP Top 10
• Inne podatności o udowodnionym wpływie

Nieakceptowane podatności sieciowe:

• Podatności teoretyczne
• Ujawnianie informacji o danych niewrażliwych
• Niski wpływ/niskie prawdopodobieństwo wykorzystania podatności

7. Nasze zobowiązania

Zasady współpracy z nami w ramach niniejszej polityki:

• Obecnie nie prowadzimy żadnego programu zgłaszania błędów (Bug bounty) ani nie uczestniczymy w takim programie. Nie honorujemy wniosków o zapłatę za znalezienie podatności, materiały promocyjne lub uznania poza naszym procesem publikacji w biuletynie bezpieczeństwa.
• Wstępne zatwierdzenie zgłoszenia podatności nastąpi w ciągu 3 dni roboczych od jego otrzymania. Wtedy też prześlemy numer umożliwiający śledzenie sprawy.
• W ciągu 30 dni od wstępnego zatwierdzenia wyślemy potwierdzenie podatności i podamy proponowany termin opracowania rozwiązania. W razie odrzucenia zgłoszenia opiszemy przyczyny takiego działania, ale pozostaniemy otwarci na nowe informacje w danej sprawie.
• Po potwierdzeniu zgłoszonej podatności nasi inżynierowie rozpoczną prace nad odpowiednimi poprawkami.
• Usunięcie niektórych podatności w terminie 90 dni jest niemożliwe. Jeśli będzie to wymagało więcej czasu niż wynosi standardowy okres zachowania poufności, wspólnie z osobą zgłaszającą wydłużymy okres zachowania poufności lub wypracujemy inne rozwiązanie. Rozwiązanie może zależeć od:
  
  • dostawców na wcześniejszych etapach łańcucha dostaw, których czas reakcji może różnić się od naszego,
  • zakresu zmian w architekturze wymaganych do usunięcia podatności,
  • złożonych lub obszernych wymagań dotyczących kontroli wynikających ze zmian na niskim poziomie oprogramowania układowego, np. w przypadku podatności oprogramowania układowego dysków twardych.
• Biuletyny bezpieczeństwa publikujemy wedle własnego uznania, w celu udostępnienia naszym klientom i opinii publicznej informacji dotyczących bezpieczeństwa. Informacje o osobach zgłaszających podatności opublikujemy w odpowiednim biuletynie bezpieczeństwa i CVE, o ile:
  • zgłoszona podatność dotyczy aktualnie wspieranego produktu Western Digital,
  • w związku z problemem wprowadziliśmy zmiany w kodzie lub konfiguracji,
  • dana osoba zgłosiła konkretną podatność jako pierwsza,
  • osoba zgłaszająca prowadziła badania w sposób zgodny z niniejszą polityką,
  • osoba zgłaszająca wyraża zgodę na taką publikację.
• Nie publikujemy porad dotyczących ogólnych usprawnień bezpieczeństwa i poprawek do programowania obronnego, które nie mają udowodnionego wpływu na bezpieczeństwo.

8. Nasze oczekiwania

Od osób, które w dobrej wierze uczestniczą w naszym programie informowania o podatnościach, oczekujemy:

• Przestrzegania zasad, w tym niniejszej polityki i wszelkich innych obowiązujących umów. W razie niespójności między niniejszą polityką a jakimikolwiek innymi obowiązującymi zasadami, zapisy niniejszej polityki mają znaczenie priorytetowe.
• Niezwłocznego zgłaszania wszelkich wykrytych podatności.
• Podejmowania wszelkich starań w celu zapobiegnięcia naruszenia prywatności, pogorszenia wrażeń użytkownika, zakłócenia systemów produkcyjnych i zniszczenia danych w trakcie testów zabezpieczeń. W szczególności:
  
  • Unikać potencjalnego lub rzeczywistego wyrządzania szkód użytkownikom naszych produktów i usług, systemom lub zastosowaniom, w tym poprzez testy zakłócające prawidłowe działanie, np. ataki typu DoS (Denial of Service).
  • Nie wykorzystywać podatności w celu uzyskania nieuprawnionego dostępu do danych lub uszkodzenia danych.
  • Nie prowadzić ataków, których celem jest nasz personel, mienie, centra danych, partnerzy i podmioty zależne.
  • Nie podejmować prób stosowania inżynierii społecznej ani w żaden inny sposób nie wprowadzać naszych pracowników, wykonawców lub podmiotów zależnych w błąd co do swoich powiązań i uprawnień w celu uzyskania dostępu do zasobów.
    
  • Nie naruszać żadnych praw ani umów w celu wykrycia podatności.
    
• Podejmowania badań wyłącznie w odniesieniu do produktów wymienionych powyżej w punkcie Zakres produktów i usług.
• Zgłaszania nam podatności dotyczących bezpieczeństwa wyłącznie w sposób zgodny z naszą procedurą zgłaszania podatności.
  
• Zachowania poufności wszelkich zdobytych informacji dotyczących odkrytych podatności do czasu rozwiązania problemu i publikacji biuletynu bezpieczeństwa. Nieujawniania informacji poza okresem zachowania poufności.
• Jeśli podatność zapewnia nieuprawniony dostęp do danych:
  
  • ograniczenia swojego dostępu do danych do minimum wymaganego, aby skutecznie przedstawić kod Proof of Concept, oraz
  • przerwania testów i natychmiastowego przesłania zgłoszenia w razie natrafienia w trakcie testów na jakiekolwiek dane osobowe, takie jak dane umożliwiające identyfikację, dane dotyczące opieki zdrowotnej, dane kart kredytowych i dane zastrzeżone.
• Wchodzenia w interakcję wyłącznie z własnymi kontami testowymi lub kontami, których właściciel jednoznacznie wyraził na to zgodę.

9. Informacje prawne

Co pewien czas możemy aktualizować politykę informowania o podatnościach. Przed przesłaniem zgłoszenia o podatności należy zapoznać się z niniejszą polityką. Proces przekazywania danych podlega wersji niniejszej polityki obowiązującej w momencie wstępnego zatwierdzenia.

10. Historia zmian

Publikacja: 17 marca 2025 r.
Wersja: 2.0

11. Odnośniki

Niniejsza polityka jest oparta na wytycznych zawartych w dokumentach ISO 29147 i 30111.
Dziękujemy disclose.io za ogólny zarys i tekst udostępniony na mocy licencji Creative Commons CC-0, ponieważ były one bardzo przydatne podczas prac nad niniejszą polityką informowania o podatnościach.