1. Inleiding

Een belangrijk doel van het Western Digital PSIRT (Product Security Incident Response Team) betreft de bescherming van de veiligheid van de eindgebruikers van Western Digital-producten. Het Western Digital-beleid betreffende de openbaarmaking van kwetsbaarheden moedigt veiligheidsonderzoekers en het bredere publiek aan om input te leveren, om te goeder trouw te handelen en om mee te doen aan het onderzoek naar en de openbaarmaking van kwetsbaarheden. Als je denkt een kwetsbaarheid, blootgestelde gegevens of een ander probleem met betrekking tot de veiligheid gevonden te hebben, dan horen wij dat graag van je. Dit beleid omvat stappen voor het melden van kwetsbaarheden aan ons, maakt duidelijk wat Western Digital verstaat onder 'te goeder trouw' in de context van het ontdekken en melden van mogelijke kwetsbaarheden, en legt uit wat onderzoekers daar op hun beurt voor mogen verwachten van Western Digital.

2. Definities

1. Wij / ons: Binnen dit beleid wordt met 'wij' Western Digital in zijn geheel en al onze merken bedoeld.
2. U / de persoon die een kwetsbaarheid meldt: Dit is de persoon, organisatie of beperkte groep die de melding van een kwetsbaarheid doet.
3. Geheimhoudingsperiode: Als wij je melding van een kwetsbaarheid accepteren, is het ons doel om binnen 90 dagen vanaf onze eerste bevestiging een oplossing te zoeken en uit te brengen. Als wij meer informatie nodig hebben om de kwetsbaarheid te kunnen bevestigen, nemen wij contact met je op. Als wij na drie pogingen geen antwoord ontvangen, kunnen wij de melding sluiten. Verdere communicatie omtrent je melding blijft echter welkom.
4. Beveiligingsbulletins: Onze beveiligingsbulletins worden hier geplaatst:
   https://www.westerndigital.com/support/productsecurity
5. Officieel meldingskanaal: Het kanaal dat wordt gebruikt voor communicatie over de openbaarmaking van kwetsbaarheden: PSIRT@wdc.com.
6. Eerste bevestiging: Dit is de datum waarop wij reageren na ontvangst van je melding door PSIRT, met een casenummer en een bekendmakingsdatum na 90 dagen.

3. Instructies voor het melden van kwetsbaarheden

Als je een beveiligingsprobleem wilt melden dat je denkt gevonden te hebben in een product of service van Western Digital, stuur dan meer informatie over je bevindingen naar ons officieel meldingskanaal. Als je een ander e-mailadres gebruikt, kan dat vertraging veroorzaken.

Vereiste informatie:

• Het (de) specifieke product(en) en versienummer(s); of
• Voor een service of services geeft u de specifieke service en/of URL op, inclusief een tijdstempel van het gemelde probleem; en
• Stappen om het probleem te reproduceren, inclusief een Proof of Concept (PoC);

Aanbevolen:

• Vermeld alle relevante CWE-referenties, indien beschikbaar;
• Of de kwetsbaarheid volgens jou al openbaar bekend is of bekend is bij derden.

U kunt uw informatie vóór verzending eventueel versleutelen met onze PGP-/GPG-sleutel.

4. Gecoördineerde bekendmaking van kwetsbaarheden met meer partijen

Wij volgen de FIRST Guidelines and Practices met betrekking tot Multi-Party Vulnerability Coordination and Disclosure (gecoördineerde bekendmaking van kwetsbaarheden met meer partijen).

5. Betrokken producten en services

We accepteren beveiligingsmeldingen voor alle HDD-gebaseerde en platformproducten van Western Digital en gerelateerde clouddiensten die het einde van de updates/ondersteuning nog niet hebben bereikt. Dit beleid betreffende de openbaarmaking van kwetsbaarheden is niet van toepassing op producten en services die het einde van de updates/ondersteuning hebben bereikt.

6. Buiten bereik

Scans voor productkwetsbaarheden

• PSIRT accepteert geen rapporten van kwetsbaarheidsscans op onze apparaten zonder Proof of Concept.

Raadpleeg het SanDisk-beleid betreffende de openbaarmaking van kwetsbaarheden voor meldingen voor flashproducten van Western Digital.

We verwelkomen ook kwetsbaarheidsmeldingen voor onze aanwezigheid op internet, te weten westerndigital.com. Stuur deze meldingen naar websecurity@wdc.com.

Geaccepteerde webkwetsbaarheden:

• OWASP Top 10 aan kwetsbaarheidscategorieën
• Andere kwetsbaarheden met aangetoonde impact

Niet-geaccepteerde webkwetsbaarheden:

• Theoretische kwetsbaarheden
• Informatieve openbaarmakingen van niet-gevoelige gegevens
• Kwetsbaarheiden met geringe impact/kleine waarschijnlijkheid van misbruik

7. Ons commitment

Wanneer je met ons samenwerkt in het kader van dit beleid, geldt het volgende:

• Wij nemen niet deel aan programma’s die het melden van bugs belonen en bieden dergelijke programma’s/beloningen zelf ook niet aan. Wij gaan niet in op verzoeken om geldelijke beloning, gratis promotiemateriaal of naamvermelding buiten ons proces voor het publiceren van beveiligingsbulletins om.
• Wij bezorgen je binnen drie werkdagen na ontvangst een eerste bevestiging van je melding, met daarbij een trackingnummer.
• Wij versturen de bevestiging dat je kwetsbaarheid is geaccepteerd binnen 30 dagen na onze eerste bevestiging, met daarbij een voorgestelde deadline voor een oplossing. Als wij de melding niet accepteren, bezorgen we je onze redenen daartoe en houden wij ons beschikbaar voor nieuwe informatie met betrekking tot je melding.
• Zodra de gemelde kwetsbaarheid is bevestigd, gaan onze engineers aan de slag om een of meer geschikte oplossingen te vinden.
• Niet elke kwetsbaarheid kan binnen het tijdsbestek van 90 dagen worden opgelost. Als meer tijd nodig is dan de normale geheimhoudingsperiode, nemen we contact met je op om een langere geheimhoudingsperiode af te spreken of andere maatregelen te treffen. De oplossing is mogelijk afhankelijk van:
  
  • Andere partijen in het proces die een ander tijdsbestek hanteren dan wij;
  • Substantiële wijzigingen die nodig kunnen zijn in de architectuur;
  • Complexe of uitgebreide validatievereisten als gevolg van firmwarewijzigingen op laag niveau, zoals voor kwetsbaarheden in de firmware van harde schijven.
• Wij oordelen zelf over de publicatie van beveiligingsbulletins om klanten en het publiek meer veiligheidsinformatie te bezorgen. Wij zullen je in het desbetreffende beveiligingsbulletin en CVE bedanken voor het vinden en melden van de kwetsbaarheid, als:
  • de gemelde kwetsbaarheid een op dat moment ondersteund Western Digital-product betreft;
  • wij een code- of configuratiewijziging doorvoeren op basis van het probleem;
  • je de eerste bent die het probleem meldt;
  • je onderzoek is uitgevoerd in overeenstemming met dit beleid;
  • je instemt met een dergelijke bevestiging.
• We publiceren geen adviezen voor algemene beveiligingsverbeteringen en defensieve programmeeroplossingen als deze geen bewezen beveiligingsimpact hebben.

8. Onze verwachtingen

Als je aan ons programma voor het bekendmaken van kwetsbaarheden deelneemt, verwachten wij het volgende van je.

• Je houdt je aan de regels, dit beleid en alle overige relevante afspraken. Mocht dit beleid in tegenspraak zijn met andere van toepassing zijnde voorwaarden, dan heeft dit beleid voorrang.
• Meld elke kwetsbaarheid die je ontdekt zo snel mogelijk.
• Doe al het noodzakelijke om de privacy te beschermen, de gebruikerservaring niet te schaden, productiesystemen niet te storen en data niet te vernietigen tijdens het testen van de beveiliging. Meer in het bijzonder:
  
  • Veroorzaak geen mogelijke of werkelijke schade aan onze gebruikers, systemen of toepassingen, ook niet via disruptieve tests zoals een DoS-aanval.
  • Gebruik de kwetsbaarheid niet om inzage te verkrijgen in gegevens waartoe je het recht niet hebt en zorg ervoor dat je geen gegevens beschadigt.
  • Voer geen aanvallen uit die gericht zijn tegen onze medewerkers, eigendommen, datacenters, partners of dochterondernemingen.
  • Doe geen poging tot social engineering en doe niet alsof er een band bestaat tussen jou en onze medewerkers, partners of dochterondernemingen om op basis daarvan toegang te krijgen tot onze systemen.
    
  • Houd je bij het opsporen van kwetsbaarheden altijd aan de wet en leef overeenkomsten na.
    
• Doe alleen onderzoek voor zover het de hierboven onder Betrokken producten en services genoemde producten betreft.
• Houd je voor het communiceren van kwetsbaarheden aan ons proces voor het melden van kwetsbaarheden.
  
• Houd informatie over elke door jou gevonden kwetsbaarheid geheim totdat wij het probleem hebben opgelost en een beveiligingsbulletin hebben gepubliceerd. Maak geen informatie openbaar buiten de geheimhoudingsperiode.
• Als een kwetsbaarheid gegevens onbedoeld toegankelijk maakt:
  
  • Beperk de hoeveelheid gegevens die je benadert tot het minimum dat nodig is om tot een Proof of Concept te komen.
  • Stop onmiddellijk met testen en doe meteen melding als je tijdens het testen aanloopt tegen gebruikersgegevens zoals persoonsgegevens, medische gegevens, creditcardgegevens of bedrijfseigen gegevens.
• Gebruik alleen testaccounts waarvan je zelf eigenaar bent of accounts waarvoor je uitdrukkelijk toestemming hebt gekregen van de accounthouder.

9. Afwijzing van aansprakelijkheid

Het beleid betreffende de openbaarmaking van kwetsbaarheden kan regelmatig door ons worden geactualiseerd. Lees dit beleid nog een keer door voordat je een kwetsbaarheid meldt. Op elke openbaarmaking is de versie van dit beleid van toepassing die van kracht was op het moment van de eerste bevestiging.

10. Versiegeschiedenis

Publicatie: 17 maart 2025
Versie: 2.0

11. Referentie

Dit beleid is gebaseerd op richtlijnen zoals bepaald in ISO-documenten 29147 en 30111.
Wij willen disclose.io bedanken voor het overzicht en de tekst van de Creative Commons CC-0. Deze informatie kwam goed van pas bij het opstellen van dit beleid.