1. Introdução

Um objetivo importante da Western Digital PSIRT (Product Security Incident Response Team, equipe de resposta a incidente de segurança de produto) é proteger a segurança dos usuários finais dos produtos Western Digital. A Política de Revelação de Vulnerabilidade da Western Digital incentiva as informações de pesquisadores de segurança e do público em geral, para agir de boa fé e se envolver em pesquisa e divulgação responsáveis de vulnerabilidades. Se você acreditar que descobriu uma vulnerabilidade, exposição de dados ou outros problemas de segurança, queremos ouvir de você. Esta política descreve as etapas para informar vulnerabilidades para nós, esclarece a definição de boa fé da Western Digital no contexto da descoberta e revelação de potenciais vulnerabilidades e explica o que os pesquisadores podem esperar da Western Digital como retorno.

2. Definições

1. Nós: Nesta política, "nós" significa toda a Western Digital e cobre nossas marcas.
2. Você / Informante de Vulnerabilidade: indivíduo, organização ou grupo limitado que apresenta um relatório de vulnerabilidade.
3. Janela de Confidencialidade: Se e quando aceitarmos seu relatório de vulnerabilidade, nosso objetivo é concluir o trabalho de remediação e lançar uma correção no prazo de 90 dias a partir da confirmação inicial. Se for necessária informação adicional para confirmar a vulnerabilidade, entraremos em contato com você. Se não recebermos resposta depois de três tentativas, podemos encerrar o caso, mas continuaremos recebendo comunicações futuras.
4. Boletins de Segurança: Nossos Boletins de Segurança estão publicados aqui:
   https://www.westerndigital.com/support/productsecurity
5. Canal Oficial de Relatório: o canal de comunicações para comunicação sobre revelações de vulnerabilidades: PSIRT@wdc.com.
6. Confirmação Inicial: Esta é a data e que respondemos depois de receber seu relatório para o PSIRT com um número de caso e uma data de divulgação de 90 dias.

3. Instruções para Relatório de Vulnerabilidade

Para informar um problema de segurança que você encontrou em um produto ou serviço da Western Digital, envie um e-mail com os detalhes das suas conclusões para nosso canal oficial de informação. Mensagens enviadas para qualquer outro endereço de e-mail podem resultar em atraso da resposta.

Informações necessárias:

• O(s) número(s) de produto(s) e versão; ou
• Para Serviço(s), fornecer o serviço e/ou URL específico, incluindo um carimbo de data/hora do problema relatado; e
• Etapas para reproduzir o problema, incluindo uma Prova de Conceito (PoC);

Recomendado:

• Fornecer quaisquer referências de CWE relevantes, se disponíveis;
• Se você acredita que a vulnerabilidade já está publicamente revelada ou é conhecida por terceiros.

Você pode criptografar a informação antes de enviá-la usando nossa chave PGP/GPG.

4. Revelação de Vulnerabilidade Coordenada de Múltiplas Partes

Nós seguimos as Diretrizes e Práticas de FIRST para Coordenação e Revelação de Vulnerabilidade de Múltiplas Partes

5. Escopo dos Produtos e Serviços

Nós aceitamos relatórios de segurança sobre todos os produtos e plataformas baseados em HDD da Western Digital e serviços de nuvem relacionados que não estejam no fim das atualizações/suporte. Todos os produtos e serviços que tenham passado de seu fim de vida não estão cobertos por esta política de revelação de vulnerabilidade.

6. Fora de escopo

Varreduras de vulnerabilidades de produtos

• A PSIRT não aceita relatórios de varredura de vulnerabilidade em nossos dispositivos, sem uma prova de conceito.

Para relatórios de produtos baseados em flash da Western Digital, consulte a Política de Divulgação de Vulnerabilidade da SanDisk.

Aceitamos também relatórios de vulnerabilidade sobre nossa presença na Internet, ou seja, westerndigital.com, envie esses relatórios para websecurity@wdc.com.

Vulnerabilidades da Web aceitas:

• 10 principais categorias de vulnerabilidade do OWASP
• Outras vulnerabilidades com impacto demonstrado

Vulnerabilidades da Web não aceitas:

• Vulnerabilidades teóricas
• Divulgações informativas de dados não confidenciais
• Vulnerabilidades de baixo impacto/baixa probabilidade de exploração

7. Nossos Compromissos

Ao trabalhar conosco, em conformidade com esta política:

• Atualmente, não oferecemos nem participamos de programas de premiação por descoberta de falhas. Nós não honramos solicitações de pagamento de prêmios, material promocional ou crédito fora de nosso processo de publicação do Boletim de Segurança.
• Nos confirmaremos inicialmente seu relatório de vulnerabilidade no prazo de 3 dias úteis após o recebimento e forneceremos um número de acompanhamento.
• Nós enviaremos uma confirmação de aceitação de vulnerabilidade no prazo de 30 dias a partir da nossa confirmação inicial, e incluiremos um prazo proposto para a correção. Se não aceitarmos o relatório, forneceremos os motivos e continuaremos abertos para novas informações sobre o relatório.
• Uma vez que a vulnerabilidade informada tenha sido confirmada, nossos engenheiros trabalharão no desenvolvimento das correções apropriadas.
• Ocasionalmente, existem vulnerabilidades que não podem ser resolvidas no prazo de 90 dias. Se for necessário mais tempo do que a janela de confidencialidade normal, nós trabalharemos com você para estender a janela de confidencialidade ou informaremos o contrário. A resolução pode depender de:
  
  • Fornecedores com prazos de resolução diferentes dos nossos.
  • Alterações de arquitetura substanciais necessárias para tratar a vulnerabilidade.
  • Requisitos de validação complexos ou extensos resultantes de alterações de baixo nível no firmware, tais como para vulnerabilidades em firmware de disco rígido.
• Nós publicamos Boletins de Segurança a nosso critério para fornecer informações de segurança para nossos clientes e para o público. Nós ofereceremos reconhecimento para você pela descoberta e relatório da vulnerabilidade no Boletim de Segurança e no CVE relativo se:
  • A vulnerabilidade informada afetar um produto Western Digital suportado atualmente,
  • Fizermos uma alteração de código ou configuração baseada no problema,
  • Você tiver sido o primeiro a informar o problema,
  • Sua pesquisa tiver sido conduzida em conformidade com esta política, e
  • Você consentir com o reconhecimento.
• Não publicamos recomendações para melhorias gerais de segurança e correções de programação defensiva que não tenham um impacto comprovado na segurança.

8. Nossas expectativas

Ao participar de nosso programa de revelação de vulnerabilidade de boa fé, nós pedimos o seguinte a você.

• Siga as regras, incluindo seguir esta política e qualquer outro acordo relevante. Se houver alguma inconsistência entre esta política e qualquer outro termo aplicável, os temos desta política prevalecerão.
• Informe qualquer vulnerabilidade que descobrir prontamente.
• Faça todos os esforços para evitar violações de privacidade, degradação da experiência do usuário, perturbação de sistemas de produção e descrição de dados durante testes de segurança. Em particular:
  
  • Não cause danos potenciais ou reais aos nossos usuários, sistemas ou aplicativos, inclusive através de testes perturbadores como Denial of Service.
  • Não explore uma vulnerabilidade para visualizar dados não autorizados ou para corromper dados.
  • Não execute ataques que tenham como alvo nosso pessoal, nossas propriedades, datacenters, parceiros e afiliados.
  • Não tente executar engenharia social ou falsificar de outro modo a sua afiliação ou autorização para qualquer de nossos funcionários, contratados ou afiliados para acessar nossos ativos.
    
  • Não viole nenhuma lei nem viole nenhum contrato para descobrir vulnerabilidades.
    
• Execute pesquisas apenas no escopo do produto definido acima em Escopo de Produtos e Serviços.
• Comunique vulnerabilidades de segurança para nós apenas através do nosso processo de relatório de vulnerabilidade.
  
• Mantenha confidenciais as informações sobre qualquer vulnerabilidade que tenha descoberto até que tenhamos resolvido o problema e um boletim de segurança tenha sido publicado. Não divulgue informações fora da janela de confidencialidade.
• Se uma vulnerabilidade permitir acesso não intencional a dados:
  
  • Limite a quantidade de dados que você acessa ao mínimo necessário para demonstrar efetivamente uma prova de conceito; e
  • Pare de testar e envie um relatório imediatamente se encontrar algum dado de usuários durante o teste, tais como Informações Pessoais Identificáveis, Informações Pessoais de Saúde, dados de cartão de crédito ou informações proprietárias.
• Interaja apenas com contas de teste de sua propriedade ou contas em que você tenha permissão explícita do detentor da conta.

9. Declaração de isenção

Nós podemos atualizar a Política de Revelação de Vulnerabilidade de tempos em tempos. Revise esta política antes de enviar relatórios de vulnerabilidade. As revelações serão governadas pelas versão desta política publicada na época da confirmação inicial.

10. Histórico de alterações

Publicação: 17 de março de 2025
Versão: 2.0

11. Referências

Esta política é baseada nas diretrizes apresentadas nos Documentos ISO 29147 e 30111.
Obrigado a disclose.io pelo seu esboço e pelo texto fornecido em Creative Commons CC-0, ele foi muito útil na criação de nossa VDP.