1. Общие сведения

Важная цель работы отдела реагирования на нарушения безопасности продуктов (PSIRT) Western Digital — защита безопасности пользователей продуктов Western Digital. Согласно политике раскрытия информации об уязвимостях, компания Western Digital рекомендует аналитикам в области безопасности и пользователям руководствоваться принципами добросовестности для ответственного анализа уязвимостей и раскрытия соответствующей информации. Если у вас есть основания считать, что вы обнаружили уязвимость, раскрытые данные или другие проблемы с безопасностью, сообщите нам о них. В этом документе описаны действия, которые необходимо выполнить, чтобы сообщить нам об уязвимости, объясняется, как мы в Western Digital понимаем добросовестность в контексте обнаружения возможных уязвимостей и сообщения о них, а также поясняется, что аналитики могут ожидать от Western Digital взамен на предоставленную информацию.

2. Определения

1. Мы: В настоящих правилах «мы» означает все подразделения Western Digital и наши бренды.
2. Вы / отправитель отчета об уязвимости — частное лицо, организация или группа лиц, которая отправляет отчет об уязвимости.
3. Период соблюдения конфиденциальности. В том случае и в тот момент, когда мы принимаем ваше сообщение об уязвимости, наша цель — выполнить работы по устранению уязвимости и выпустить исправление в течение 90 дней с момента ее первоначального подтверждения. Если для подтверждения уязвимости требуется дополнительная информация, мы к вам обратимся. Если после трех попыток связаться с вами мы не получим ответ, обращение может быть закрыто, но вы по-прежнему можете повторно сообщить нам по данному вопросу.
4. Бюллетени по безопасности. Наши бюллетени по безопасности публикуются на странице:
   https://www.westerndigital.com/support/productsecurity
5. Официальный канал связи для отправки отчетов — канал обмена данными для предоставления информации об уязвимости: PSIRT@wdc.com.
6. Первоначальное подтверждение. Это дата, когда мы отвечаем вам, указывая в ответе номер обращения и начало 90-дневного периода с даты получения отделом PSIRT вашего отчета.

3. Инструкции по отправке отчета об уязвимости

Чтобы сообщить о проблеме с безопасностью, которую вы обнаружили в продукте или службе Western Digital, отправьте сообщение по электронной почте с подробными сведениями, используя наш официальный канал связи для отправки отчетов. В случае отправки сообщений на другие адреса электронной почты ответ может прийти с задержкой.

Необходимая информация:

• конкретные продукты и номера версий;
• для Услуг укажите конкретную услугу и/или URL-адрес, включая временную метку сообщения о проблеме;
• шаги по воспроизведению вопроса, включая материалы, подтверждающие сведения об уязвимости (PoC).

Рекомендуется:

• предоставить любые соответствующие ссылки на общий перечень уязвимостей, если таковые имеются;
• информацию о том, были ли, по вашему мнению, данные об уязвимости опубликованы или известны третьим лицам.

Перед отправкой можно зашифровать информацию с помощью нашего ключа PGP/GPG.

4. Согласованное предоставление информации об уязвимости несколькими лицами

Мы руководствуемся правилами и рекомендациями FIRST относительно согласования действий и предоставления информации об уязвимости несколькими лицами.

5. Применение для продуктов и услуг

Мы принимаем Отчеты о безопасности всех продуктов Western Digital на базе жестких дисков и платформ, а также сопутствующих облачных сервисов, для которых не закончились обновления/поддержка. Условия этой политики раскрытия информации об уязвимостях не распространяются на продукты и услуги, для которых закончились обновления/поддержка.

6. Вне сферы применения

Сканирование уязвимостей продуктов

• Отдел реагирования на нарушения безопасности продуктов PSIRT не принимает отчеты о сканировании уязвимостей на наших устройствах без материалов, подтверждающих сведения об уязвимости (PoC).

Отчеты о продуктах на базе флэш-памяти Western Digital см. в Политике раскрытия информации об уязвимостях SanDisk.

Мы также приветствуем сообщения об уязвимостях на наших веб-сайтах, например westerndigital.com. Отправляйте эти отчеты по адресу websecurity@wdc.com.

Признаваемые веб-уязвимости:

• Уязвимости из 10 основных категорий Открытого проекта по безопасности веб-приложений (OWASP)
• Другие уязвимости с доказанным влиянием

Непризнаваемые веб-уязвимости:

• Теоретические уязвимости
• Информационное раскрытие неконфиденциальной информации
• Уязвимости с низким воздействием/низкой вероятностью использования

7. Наши обязательства

При сотрудничестве с нами в соответствии с настоящими условиями примите во внимание перечисленные далее факторы:

• На сегодняшний день мы не предлагаем программ вознаграждения за обнаружение уязвимости и не участвуем в таких программах. Мы отклоняем запросы на получение вознаграждения, рекламных материалов и доверенностей помимо того, что предусмотрено в процессе публикации бюллетеней по безопасности.
• Мы изначально подтверждаем отчет об уязвимости в течение 3 рабочих дней с момента получения и предоставляем номер для отслеживания.
• Мы отправляем подтверждение о начале работы над отчетом об уязвимости в течение 30 дней с даты первоначального подтверждения с указанием предполагаемого срока выпуска исправления. Если мы не примем отчет, то укажем причину такого решения и будем готовы рассмотреть новую информацию, связанную с таким отчетом.
• После подтверждения наличия уязвимости, о которой сообщалось в отчете, наши инженеры начинают работать над разработкой соответствующих исправлений.
• Иногда уязвимость не удается устранить в течение 90 дней. Если необходимое время превышает стандартный период соблюдения конфиденциальности, мы свяжемся с вами, чтобы продлить период соблюдения конфиденциальности или порекомендуем другое решение. Устранение уязвимости зависит от ряда факторов.
  
  • Разница в сроках устранения неполадок между нашей компанией и поставщиками
  • Необходимость внесения значительных изменений в архитектуру для устранения уязвимости
  • Сложные или расширенные требования к подтверждению, связанные с необходимостью внесения изменений в микропрограмму на нижнем уровне, например, для устранения уязвимости микропрограммы жесткого диска.
• Мы публикуем бюллетени по безопасности по собственному усмотрению с целью предоставления информации о безопасности нашим клиентам и общественности. Если вы обнаружили уязвимость и сообщили о ней, мы предлагаем указать ваше имя в бюллетене по безопасности и CVE в следующих случаях:
  • уязвимость, о которой вы сообщили, влияет на работу устройства Western Digital, которое на данный момент поддерживается;
  • мы внесли изменения в код или конфигурацию в результате обнаружения уязвимости;
  • вы сообщили об уязвимости первым;
  • вы проводили анализ в соответствии с настоящими условиями;
  • вы согласны на упоминание вашего имени.
• Мы не публикуем рекомендации по общим улучшениям безопасности и защитным исправлениям в программах, которые не имеют доказанного влияния на безопасность.

8. Наши ожидания

Вы участвуете в нашей программе обнаружения уязвимостей, руководствуясь принципами добросовестности и взаимного доверия, а потому мы просим вас о следующем:

• Соблюдайте правила, в том числе описанные в данном документе и других применимых соглашениях. В случае расхождений между данными условиями и любыми другими применимыми условиями приоритет имеют настоящие условия.
• Незамедлительно сообщайте о любой найденной уязвимости.
• Делайте все возможное, чтобы избежать нарушений конфиденциальности, отрицательного воздействия на работу пользователей, перерывов в работе производственных систем и потери данных при тестировании систем безопасности. В частности, запрещены следующие действия:
  
  • наносить потенциальный или фактический ущерб пользователям, системам и приложениям, включая такой, который возникает в результате испытаний с нарушением работы, например, отказа в обслуживании;
  • использовать уязвимости для несанкционированного просмотра или повреждения данных;
  • проводить атаки, которые влияют на наш персонал, имущество, центры обработки данных, партнеров и аффилированных лиц;
  • пытаться использовать социотехнические системы и предоставлять некорректную информацию о вашей принадлежности к организациям и полномочиях нашим сотрудникам, подрядчикам или аффилированным лицам с целью получения доступа к нашим активам;
    
  • нарушать какие-либо законы или соглашения с целью обнаружения уязвимости.
    
• Проводите анализ уязвимостей только тех изделий, которые указаны в разделе Применение для продуктов и услуг.
• Чтобы сообщить об уязвимости системы безопасности, используйте только предусмотренный процесс отправки отчетов об уязвимостях.
  
• Не разглашайте информацию о любых найденных уязвимостях, пока мы не устраним неполадки и не опубликуем бюллетень по безопасности. Не разглашайте информацию в течение периода соблюдения конфиденциальности.
• Если в результате обнаружения уязвимости вы можете получить несанкционированный доступ к данным, вам следует придерживаться следующих правил:
  
  • получите доступ к минимальному объему данных, необходимому для эффективного сбора информации, подтверждающей сведения об уязвимости; и
  • прекратите испытания и незамедлительно отправьте отчет, если во время испытаний вы обнаружили данные пользователей, такие как данные, позволяющие идентифицировать личность (PII), персональные медицинские данные (PHI), данные кредитных карт и конфиденциальную информацию.
• Используйте только ваши собственные тестовые учетные записи или учетные записи, на использование которых вы получили явное разрешение владельца.

9. Заявление об ограничении ответственности

Правила раскрытия информации об уязвимости могут время от времени изменяться. Ознакомьтесь с текстом этих правил, прежде чем отправлять отчет об уязвимости. На отчеты об обнаружении уязвимостей распространяются условия, опубликованные на дату первоначального подтверждения.

10. История изменений

Опубликовано: 17 марта 2025 г.
Версия: 2.0

11. Материалы

Данные правила сформулированы на основе рекомендаций, представленных в документах ISO 29147 и 30111.
Мы благодарим disclose.io за предоставленные в рамках Creative Commons CC-0 план и текст, которые оказались очень полезны при создании нашей политики в отношении раскрытия информации об уязвимостях.