תמיכה

מדיניות חשיפת הפגיעות של Western Digital

1. הקדמה

מטרה חשובה של Western Digital PSIRT (Product Security Incident Response Team) היא להגן על אבטחה משתמשי הקצה של מוצרי Western Digital. ה-Western Digital Vulnerability Disclosure Policy מעודדת את חוות הדעת של חוקרי אבטחה והציבור הרחב, לפעול בתום לב לשאת באחראיות על מחקר וחשיפה של פגיעות. אם אתה חושב שגילית פגיעות, נתונים חשופים או בעיות אבטחה אחרות, אנו רוצים לשמוע ממך. מדיניות זו מתווה שלבים לדיווח לנו על פגיעות, מבהירה את הגדרת תום הלב של Western Digital בהקשר של גילוי ודיווח על פגיעות אפשריות, ומסבירה את מה החוקרים יכולים לצפות מ-Western Digital בתמורה.

2. הגדרות

  1. חלון סודיות: אם וכאשר נקבל ממך דוח פגיעות, המטרה שלנו היא להשלים את עבודת התיקון ולפרסם תיקון תוך 90 יום מרגע האישור הראשוני. אם נדרש מידע נוסף כדי לאשר את הפגיעות, ניצור איתך קשר. אם לא נקבל תשובה לאחר 3 ניסיונות אנו עשויים לסגור את התיק, אך עדיין נשמח לקבל יצירות קשר עתידיות.
  2. הודעות אבטחה: הודעות האבטחה שלנו מפורסמות כאן:
    https://www.westerndigital.com/support/productsecurity
  3. אתה / המדווח על פגיעות: יחיד, ארגון או קבוצה מוגבלת המדווחים על פגיעות.
  4. אנחנו / אותנו: במסגרת מדיניות זו, מתכוונים לכל Western Digital ומכסים את המותגים שלנו, כולל: Western Digital, WD, SanDisk, SanDisk Professional, HGST, ו- G-Technology.
  5. ערוץ דיווח רשמי: ערוץ התקשורת ליצירת הקשר אודות חשיפת פגיעות: PSIRT@wdc.com.
  6. האישור הראשוני: זהו התאריך שבו אנו מגיבים ושולחים לך מספר התיק ותאריך חשיפה בן 90 יום לאחר קבלת הדיווח על ידי PSIRT.

3. הוראות דיווח על פגיעות

כדי לדווח על בעיית אבטחה, שלדעתך, נמצאת במוצר או בשירות של Western Digital, אנא שלח את פרטי הממצאים שלך בדוא"ל לערוץ הדיווח הרשמי שלנו. הודעות שנשלחות לכל כתובת דוא"ל אחרת עשויות לגרום לעיכוב בתגובה.
במידת האפשר, נא לכלול את הפרטים הבאים:

  • המוצר/ים או השירות/ים הספציפיים שהושפעו, כולל כל מספרי גרסה רלוונטיים;
  • פרטים על ההשפעת של הבעיה;
  • כל מידע שיכול לעזור לנו לשחזר או לאבחן את הבעיה, כולל הוכחת הקונספט (PoC) אם זמינה; ו
  • האם אתה מאמין שהפגיעות כבר נחשפה בפומבי או ידועה לצדדים שלישיים. אנא השתמש במפתח PGP/GPG שלנו כדי להצפין את המידע לפני שליחתו.

אנא השתמש במפתח PGP/GPG שלנו כדי להצפין את המידע לפני שליחתו.

4. גילוי פגיעות מתואם מרובה צדדים

אנו פועלים לפי ההנחיות והנהלים של FIRST עבור גילוי פגיעות מתואם מרובה צדדים. חוקרים המעוניינים לדווח על פגיעות מרובת צדדים אך זקוקים לסיוע בניווט בתהליך או בתיאום בין הגורמים המרובים העוניינים בדיווח על פגיעות יכולים לפנות אלינו. אנו עשויים להציע הנחיה ולמלא את תפקיד המתאם אם נאשר את קבלת הפגיעות.

5. היקף מוצרים ושירותים

כל המוצרים שעדיין נמצאים בשלב העדכונים הנוכחי והמוגבל כולל משפחות המוצרים המוזכרות להלן. אנו גם מקבלים דוחות פגיעות בכל דפי האינטרנט ושירותי הענן שלנו. כל המוצרים והשירותים שעברו את סיום חייהם אינם מכוסים במדיניות גילוי חשיפת פגיעות זו. להלן רשימת המוצרים הנמצאים כעת בהיקף:

  • אחסון מקושר לרשת: My Cloud Home, My Cloud, ibi Personal Mobile Storage: My Passport Wireless ו-iXpand
  • אחסון אישי: G-DRIVE, G-RAID
  • WD BLACK
  • אחסון חצוני My Book, My Passport, WD EasyStore ו-WD Elements
  • Internal Drives, SSDs & Embedded Flash
  • יישומי שולחן עבודה ונייד: EdgeRover and SanDisk Memory Zone
  • כונני הבזק מסוג USB
  • כוננים ניידים 
  • כרטיסי זיכרון


למידע נוסף על מחזור החיים של תמיכת המוצר שלנו ראה:
SanDisk: https://kb.sandisk.com/app/answers/detail/a_id/22809
G-Technology: https://support.g-technology.com/downloads.aspx?lang=en
WD Products: https://www.westerndigital.com/he-il/support/software/software-life-cycle-policy

6. ההתחייבויות שלנו

כשעובדים איתנו, בהתאם למדיניות זו:

  • כרגע איננו מציעים או משתתפים בתוכניות קבועות לזיהוי באגים. איננו מכבדים בקשות לתשלומי פרס, חומר פרסומי או אשראי מחוץ לתהליך פרסום עלון האבטחה שלנו.
  • תחילה נאשר את דוח הפגיעות שלך תוך 3 ימי עסקים מיום קבלתו, ונספק מספר מעקב.
  • אנו נשלח אישור על קבלת פגיעות בתוך 30 יום מהאישור הראשונישלנו, ונכלול מועד אחרון לתיקון. אם לא נאשר את הדוח, נספק את הנימוקים שלנו ונשאר פתוחים למידע חדש על הדוח.
  • לאחר אישור הפגיעות המדווחת, המהנדסים שלנו יעבדו על פיתוח התיקונים המתאימים.
  • מדי פעם ישנן פגיעות שאינן ניתנות לפתרון בתוך לוח הזמן של ה- 90 יום. אם נדרש יותר זמן מחלון הסודיות הרגיל, אנו נעבוד איתך כדי להאריך את חלון הסודיות או לייעץ אחרת. הרזולוציה עשויה להיות תלויה ב:
    • ספקים במעלה הזרם עם מסגרות זמן של רזולוציה שונות משלנו.
    • נדרשים שינויים ארכיטקטוניים מהותיים כדי לטפל בפגיעות.
    • דרישות אימות מורכבות או מורחבות הנובעות משינויי קושחה ברמה נמוכה, כגון פגיעויות של כונן קשיח או קושחת SSD.
  • אנו מפרסמים הודעות אבטחה לפי שיקול דעתנו כדי לספק מידע אבטחה ללקוחותינו ולציבור. אנו נציע לך הכרה שמצאת ודיווחת על הפגיעות בהודעת האבטחה וב-CVE הקשורים אם:
    • הפגיעות המדווחת משפיעה על מוצר Western Digital נתמך כעת,
    • אנו מבצעים שינוי קוד או תצורה בהתבסס על הבעיה,
    • אתה הראשון לדווח על הבעיה,
    • המחקר שלך מתבצע בהתאם למדיניות זו, וכן
    • אתה מסכים להכרה.

7. הציפיות שלנו

בהשתתפותנו בתוכנית גילוי הפגיעות שלנו בתום לב, אנו מבקשים ממך את הדברים הבאים.

  • פעל לפי הכללים, כולל שמירה על מדיניות זו וכל הסכם רלוונטי אחר. אם קיימת אי התאמה כלשהי בין מדיניות זו לבין כל תנאי רלוונטי אחר, תנאי מדיניות זו יגברו.
  • דווח על כל פגיעות שגילית באופן מיידי.
  • עשה כל מאמץ כדי להימנע מהפרות פרטיות, פגיעה בחוויית המשתמש, הפרעה למערכות הייצור והרס נתונים במהלך בדיקות אבטחה. באופן מיוחד:
    • אל תגרום נזק פוטנציאלי או ממשי למשתמשים, למערכות או ליישומים שלנו, לרבות באמצעות בדיקות משבשות כמו מניעת שירות.
    • אל תנצל פגיעות כדי להציג נתונים לא מורשים או להשחית נתונים כלשהם.
    • אל תבצע התקפות המכוונות לפרטיים, לרכוש, למרכזי הנתונים, לשותפים ולסניפים שלנו.
    • אין לבצע ניסיונות הנדסה חברתית או להציג מצג שווא בכל דרך שונה מההשתייכות או ההרשאה שלך לאף אחד מהעובדים, הקבלנים או השותפים שלנו לגשת לנכסים שלנו.
    • אין להפר חוקים או להפר הסכמים כלשהם על מנת לגלות פגיעות .
  • בצע מחקר רק בהיקף המוצר שהוגדר לעיל תחת היקף מוצרים ושירותים.
  • דווח לנו על פרצות אבטחה רק באמצעות תהליך דיווח הפגיעות שלנו.
  • שמור מידע על כל פגיעות שגילית בסודיות עד שנפתור את הבעיה ונפרסם הודעת האבטחה. אין לחשוף מידע מחוץ לחלון הסודיות.
  • אם פגיעות מספקת גישה לא מכוונת לנתונים:
    • הגבל את כמות הנתונים שאתה ניגש למינימום הנדרש להדגמת הוכחה יעילה; ו
    • הפסק את הבדיקה ושלח דוח מיד אם אתה נתקל בנתוני משתמש כלשהם במהלך הבדיקה, כגון מידע אישי מזהה (PII), מידע רפואי אישי (PHI), נתוני כרטיס אשראי או מידע קנייני.
  • קיים אינטראקציה רק באמצעות חשבונות בדיקה שבבעלותך או חשבונות שבהם יש לך הרשאה מפורשת מבעל החשבון.

8. הגבלות אחריות

אנו עשויים לעדכן את מדיניות גילוי הפגיעות מעת לעת. אנא עיין במדיניות זו לפני הגשת דוחות פגיעות. הגילויים יהיו כפופים לגרסה של מדיניות זו שפורסמה במועד האישור הראשוני.

9. היסטוריה של שינוי

יצא לאור 2021-10-15
גרסה: 1.1

10. סימוכין

מדיניות זו מבוססת על ההנחיות המוצגות במסמכי ISO 29147 &30111.
תודה ל-dislose.io על המתאר והטקסט שסופקו תחת Creative Commons CC-0 מכיוון שזה היה מאוד מועיל ביצירת ה-VDP שלנו.

store.productcompare.comparelink