1. Giriş

Western Digital PSIRT’ın (Ürün Güvenliği Olay Müdahale Ekibi) önemli bir amacı, Western Digital ürünlerinin son kullanıcılarının güvenliğini korumaktır. Western Digital Güvenlik Açığı İfşa Politikası, iyi niyetli davranmak ve sorumlu güvenlik açığı araştırmasına ve ifşasına katılım sağlamak için güvenlik araştırmacılarını ve genel halkı bilgi vermeye teşvik eder. Bir güvenlik açığı, veri ifşası veya başka bir güvenlik sorunu ile karşılaştığınızı düşünüyorsanız, bize bildirmenizi isteriz. Bu politika, güvenlik açıklarını bize bildirme adımlarını özetler, potansiyel güvenlik açıklarını bulma ve bildirme bağlamında Western Digital'ın iyi niyet tanımını açıklığa kavuşturur ve karşılığında araştırmacıların Western Digital'den neler bekleyebileceklerini açıklar.

2. Tanımlar

1. Biz / Bize: Bu politika dahilinde "biz", tüm Western Digital anlamına gelir ve markalarımızı kapsar.
2. Siz / Güvenlik Açığını Bildiren Kişi: bir güvenlik açığı bildirimini yapan birey, kurum veya belirli grup.
3. Gizlilik Süresi: Güvenlik açığı raporunuzu kabul etmemiz durumunda, ilk bildirimin alınmasından sonraki 90 gün içinde düzeltme çalışmasını tamamlamayı ve bir düzeltme yayınlamayı amaçlarız. Güvenlik açığını doğrulamak için ek bilgi gerekirse, sizinle iletişime geçeriz. Üç deneme sonrasında bir yanıt alamazsak, dosyayı kapatabiliriz ancak gelecekteki iletişimleri memnuniyetle karşılarız.
4. Güvenlik Bültenleri: Güvenlik Bültenlerimiz burada yayınlanmaktadır:
   https://www.westerndigital.com/support/productsecurity
5. Resmi Bildirim Kanalı: güvenlik açığı ifşaları hakkında iletişim sağlanacak iletişim kanallarıdır: PSIRT@wdc.com.
6. İlk Bildirimin Alınması: PSIRT bölümüne yaptığınız bildirimi almamızdan sonra, bir dosya numarası ve 90 günlük bir ifşa süresiyle size geri dönüş sağladığımız tarihtir.

3. Güvenlik Açığı Bildirme Talimatları

Bir Western Digital ürününde veya hizmetinde bulduğunuzu düşündüğünüz bir güvenlik sorununu bildirmek için bulgularınızın ayrıntılarını lütfen resmi bildirim kanalımıza e-posta ile gönderin. Diğer e-posta adreslerine gönderilen mesajlar geç geri dönüşe neden olabilir.

Gerekli bilgiler:

• Spesifik ürün/ürünler ve sürüm numarası/numaraları veya
• Hizmet/Hizmetler için, bildirilen sorunun zaman damgasını da dahil ederek spesifik hizmeti ve/veya URL’yi belirtin ve
• Kavram Kanıtı (PoC) ekleyerek sorunu yeniden üretme adımlarını belirtin;

Önerilen:

• Varsa ilgili CWE referanslarını sağlayın;
• Güvenlik açığının önceden halka açık şekilde ifşa edildiğini veya üçüncü taraflarca bilindiğini düşünüp düşünmediğiniz.

Bilgileri göndermeden önce PGP/GPG anahtarımızı kullanarak şifreleyebilirsiniz.

4. Çok Taraflı Koordineli Güvenlik Açığı İfşası

Çok Taraflı Güvenlik Açığı Koordinasyonu ve İfşası için İLK Yönergeler ve Uygulamaları takip ederiz.

5. Ürün ve Hizmet Kapsamı

Güncellemeleri/desteği sonlandırılmamış olan tüm Western Digital HDD tabanlı ürünler, platform ürünleri ve ilgili bulut hizmetleriyle ilgili Güvenlik Bildirimlerini kabul ediyoruz. Güncellemeleri/desteği sonlandırılmış hiçbir ürün ve hizmet bu güvenlik açığı açıklama politikası kapsamında değildir.

6. Kapsam Dışı

Ürün Güvenlik Açığı Taramaları

• PSIRT, Kavram Kanıtı olmadan cihazlarımızdaki Güvenlik Açığı Tarama Raporlarını kabul etmez.

Western Digital flash tabanlı ürün raporları için lütfen SanDisk Güvenlik Açığı Açıklama Politikası’na bakın.

Ayrıca, internet sitemiz westerndigital.com ile ilgili güvenlik açığı bildirimlerini de memnuniyetle karşılıyoruz. Lütfen bu tür bildirimleri websecurity@wdc.com adresine gönderin.

Kabul Edilen Web Güvenlik Açıkları:

• OWASP En önemli 10 güvenlik açığı kategorisi
• Etkisi kanıtlanmış diğer güvenlik açıkları

Kabul Edilmeyen Web Güvenlik Açıkları:

• Teorik güvenlik açıkları
• Hassas olmayan verilerin bilgilendirme amaçlı ifşası
• Düşük etkisi/düşük istismar olasılığı olan güvenlik açıkları

7. Taahhütlerimiz

Bizimle çalışırken, bu politikaya göre:

• Şu anda herhangi bir hata bulma ödül programı sunmuyor veya bu tür programlara katılmıyoruz. Ödül ödemesi, promosyon malzemesi veya Güvenlik Bültenimizde yayınlama yöntemi haricindeki övgü isteklerini kabul etmiyoruz.
• Güvenlik açığı bildiriminizi aldıktan sonra 3 iş günü içinde ilk olarak onaylayacağız ve bir takip numarası vereceğiz.
• İlk bildirimi almamızdan sonra 30 gün içinde bir güvenlik açığı kabul onayı göndereceğiz ve hatanın düzeltilmesi için öngörülen tarihi ekleyeceğiz. Bildirimi kabul etmezsek, sebeplerimizi sunacak ve bildirimle ilgili yeni bilgiler için iletişime açık olacağız.
• Bildirilen güvenlik açığı doğrulandığında, mühendislerimiz uygun düzetmeyi/düzeltmeleri geliştirmek üzere çalışacaklardır.
• Bazen 90 gün zaman aralığında çözülemeyen güvenlik açıkları vardır. Normal gizlilik süresinden daha uzun zaman gerekirse, gizlilik süresini uzatmak veya başka tavsiyelerde bulunmak için sizinle birlikte çalışacağız. Çözüm şunlara bağlı olabilir:
  
  • Bizimkinden farklı çözüm zaman aralıkları olan üretim malzemesi satıcıları.
  • Güvenlik açığını gidermek için gereken önemli mimari değişiklikler.
  • Sabit disk üretici yazılımı güvenlik açıkları gibi düşük seviye üretici yazılımı değişikliklerinden kaynaklanan karmaşık veya genişletilmiş doğrulama gereksinimleri.
• Müşterilerimize ve kamuoyuna güvenlik bilgileri sağlamak için kendi takdirimize bağlı olarak Güvenlik Bültenleri yayımlıyoruz. Güvenlik açığını bulduğunuz ve bildirdiğiniz için ilgili Güvenlik Bülteni veya CVE’de size teşekkür edeceğiz, eğer:
  • Bildirilen güvenlik açığı şu anda desteklenen bir Western Digital ürününü etkiliyorsa,
  • Soruna bağlı olarak bir kod veya yapılandırma değişikliği yaparsak,
  • Sorunu bildiren ilk kişi olursanız,
  • Araştırmanız bu politika ile uyumlu yürütülüyorsa ve
  • Teşekkürü kabul ediyorsanız.
• Güvenlik üzerinde kanıtlanmış bir etkisi olmayan genel güvenlik iyileştirmeleri ve savunma amaçlı programlama düzeltmeleri için öneri yayımlamıyoruz.

8. Beklentilerimiz

Güvenlik açığı açıklama programımıza iyi niyetle katılırken, sizden aşağıdakileri istiyoruz.

• Bu politikayı ve diğer ilgili anlaşmaları takip etmek dahil olmak üzere kurallara göre oynayın. Bu politika ile diğer geçerli koşullar arasında herhangi bir tutarsızlık olması durumunda, bu politikanın koşulları geçerli olacaktır.
• Bulduğunuz herhangi bir güvenlik açığını hemen bildirin.
• Güvenlik testi sırasında gizlilik ihlallerini, kullanıcı deneyiminin bozulmasını, üretim sistemlerinin kesintiye uğramasını ve verilerin yok edilmesini önlemek için her türlü çabayı gösterin. Özellikle:
  
  • Hizmet Engellemeleri gibi yıkıcı test etme yöntemleri dahil olmak üzere, kullanıcılarımıza, sistemlerimize veya uygulamalarımıza potansiyel veya fiili zarar vermeyin.
  • İzinsiz veri görüntülemek veya herhangi bir veriyi bozmak için bir güvenlik açığından faydalanmayın.
  • Çalışanlarımızı, mülkümüzü, veri merkezlerimizi, iş ortaklarımızı ve iştiraklerimizi hedef alan saldırılar düzenlemeyin.
  • Varlıklarımıza erişmek için çalışanlarımıza, yüklenicilerimize veya iştiraklerimize sosyal mühendislik girişimleri yapmayın veya bağlantınızı veya yetkinizi başka şekilde yanlış tanıtmayın.
    
  • Güvenlik açıklarını bulmak için herhangi bir kanunu çiğnemeyin veya herhangi bir anlaşmayı ihlal etmeyin.
    
• Yalnızca yukarıda Ürün ve Hizmet Kapsamı altında tanımlanan ürün kapsamında araştırma yapın.
• Güvenlik açıklarını bize sadece güvenlik açığı bildirme sürecimiz yoluyla iletin.
  
• Bulduğunuz tüm güvenlik açıklarıyla ilgili bilgileri, biz sorunu çözene ve bir güvenlik bülteni yayınlanıncaya kadar gizli tutun. Gizlilik süresi dışında bilgi açıklamayın.
• Bir güvenlik açığı verilere istenmeyen erişim sağlıyorsa:
  
  • Eriştiğiniz verilerin miktarını etkili bir kavram kanıtı göstermek için gereken minimum düzey ile sınırlandırın ve
  • Test sırasında Kişisel Tanımlanabilir Bilgiler (Personally Identifiable Information - PII), Kişisel Sağlık Bilgileri (Personal Healthcare Information - PHI), kredi kartı verileri veya özel bilgiler gibi herhangi bir kullanıcı verisiyle karşılaşırsanız, testi sonlandırın ve derhal bir bildirim gönderin.
• Sadece kendi test hesaplarınızla veya hesap sahibinden açık izin aldığınız hesaplarla etkileşime girin.

9. Açıklama

Güvenlik Açığı İfşa Politikasını zaman zaman güncelleyebiliriz. Lütfen güvenlik açığı bildirimlerini göndermeden önce bu politikayı inceleyin. İfşalar, ilk bildirimin alınması esnasında yayımlanmış olan bu politika versiyonuna tabi olacaktır.

10. Değişiklik Geçmişi

Yayımlanma tarihi: 17 Mart 2025
Sürüm: 2.0

11. Referanslar

Bu politika, ISO Belgeleri 29147 ve 30111'de sunulan yönergelere dayanır.
Güvenlik Açığı İfşa Politikamızı oluşturmada çok yardımcı olan taslakları ve Creative Commons CC-0 altında sağlanan metinleri için disclose.io’ya teşekkür ederiz.