1. Einführung

Ein wichtiges Ziel des Western Digital PSIRT (Product Security Incident Response Team) ist es, die Sicherheit der Endbenutzer von Western Digital Produkten zu schützen. Im Rahmen der Richtlinie von Western Digital zur Offenlegung von Schwachstellen werden Sicherheitsexperten und die allgemeine Öffentlichkeit ermutigt, in gutem Glauben zu handeln und sich an der verantwortungsvollen Suche und Offenlegung von Schwachstellen zu beteiligen. Wenn Sie glauben, eine Schwachstelle, ein Datenleck oder andere Sicherheitsprobleme entdeckt zu haben, möchten wir von Ihnen hören. In dieser Richtlinie wird dargelegt, wie Sie Schwachstellen an uns melden können, wie Western Digital „in gutem Glauben“ mit Bezug auf die Entdeckung und Meldung potenzieller Schwachstellen definiert, und es wird erklärt, was Forscher im Gegenzug von Western Digital erwarten können.

2. Definitionen

1. Vertraulichkeitszeitraum: Wenn wir Ihren Schwachstellenbericht akzeptieren, ist es unser Ziel, die Schwachstelle innerhalb von 90 Tagen nach der ersten Bestätigung zu beheben und eine Lösung zu veröffentlichen. Wenn zusätzliche Informationen zur Bestätigung der Schwachstelle erforderlich sind, werden wir Sie kontaktieren. Wenn wir nach 3 Versuchen keine Antwort erhalten, steht es uns frei, den Fall zu schließen, aber natürlich begrüßen wir jede weitere Mitteilung.
2. Sicherheitsbulletins: Unsere Sicherheitsbulletins werden hier veröffentlicht:
   https://www.westerndigital.com/support/productsecurity
3. Sie / Schwachstellenmelder: eine Einzelperson, Organisation oder begrenzte Gruppe, die eine Schwachstelle meldet.
4. Wir/uns: In dieser Richtlinie bezieht sich „wir“ auf alle Marken von Western Digital und deckt unter anderem folgende Marken ab: Western Digital, WD, SanDisk, SanDisk Professional, HGST und G-Technology.
5. Offizieller Meldekanal: der Kommunikationskanal für die Bekanntgabe von Schwachstellenmeldungen. PSIRT@wdc.com.
6. Erstmalige Bestätigung: Das Datum, an dem wir Ihnen nach Erhalt Ihrer Meldung an PSIRT mit einer Fallnummer und einer 90-tägigen Offenlegungsfrist antworten.

3. Hinweise zum Melden von Schwachstellen

Wenn Sie ein Sicherheitsproblem melden möchten, das Sie in einem Produkt oder Services von Western Digital gefunden haben, senden Sie bitte eine E-Mail mit den Einzelheiten Ihrer Erkenntnisse an unseren offiziellen Meldekanal. Nachrichten, die an andere E-Mail-Adressen gesendet werden, können zu einer verzögerten Antwort führen.
Geben Sie dabei nach Möglichkeit Folgendes an:

• Die betroffenen Produkte oder Services, einschließlich relevanter Versionsnummern
• Details zur Auswirkung des Problems
• Jegliche Informationen, die zur Reproduzierung oder Diagnose des Problems beitragen könnten, ggf. auch ein Proof of Concept (PoC)
• Ihren Kenntnisstand darüber, ob die Schwachstelle der Öffentlichkeit oder Dritten bekannt ist Bitte nutzen Sie vor dem Absenden unseren PGP/GPG Key, um die Informationen zu verschlüsseln.

Bitte nutzen Sie vor dem Absenden unseren PGP/GPG Key, um die Informationen zu verschlüsseln.

4. Koordinierte Offenlegung von Schwachstellen, die mehrere Parteien betreffen

Wir befolgen die Richtlinien und Praktiken von FIRST hinsichtlich der Koordinierung und Offenlegung von Schwachstellen, die mehrere Parteien betreffen. Forscher, die eine Sicherheitslücke melden möchten, die mehrere Parteien betrifft, aber Unterstützung bei der Navigation durch den Prozess oder bei der Koordinierung der Beteiligten benötigen, können sich an uns wenden. Wir können beratend zur Seite stehen und als Koordinator fungieren, sofern wir die Annahme der Schwachstelle bestätigen.

5. Produkt- und Serviceumfang

Alle Produkte, die sich noch in der laufenden bzw. eingeschränkten Update-Phase befinden, einschließlich der unten genannten Produktfamilien. Wir begrüßen auch Berichte über Schwachstellen auf unseren Webseiten und Cloud-Diensten. Eingestellte Produkte und Services fallen nicht unter diese Richtlinie zur Offenlegung von Schwachstellen. Eine Liste der derzeit abgedeckten Produkte:

• Netzwerkspeicher: My Cloud Home, My Cloud, ibi Personal Mobile Storage: My Passport Wireless und iXpand
• Professionelle Speicherlösungen: G-DRIVE, G-RAID
• WD BLACK
• Externer Speicher: My Book, My Passport, WD EasyStore und WD Elements
• Interne Festplatten, SSDs und Embedded Flash
• Desktop-Anwendungen und Apps: EdgeRover und SanDisk Memory Zone
• USB-Flash-Speicher
• Mobile Festplatten 
• Speicherkarten

Im Folgenden finden Sie weitere Informationen zu unserem Produkt-Support-Lebenszyklus:
SanDisk: https://kb.sandisk.com/app/answers/detail/a_id/22809
G-Technology: https://support.g-technology.com/downloads.aspx?lang=en
WD-Produkte: https://www.westerndigital.com/de-de/support/software/software-life-cycle-policy

6. Unser Commitment

Wenn Sie mit uns zusammenarbeiten, gelten die folgenden Richtlinien:

• Wir zahlen derzeit keine Prämien für gefundene Bugs (Bug-Bounty-Programm). Wir beantworten keine Anfragen bezüglich Prämienzahlungen, Werbematerial oder Gutschriften außerhalb des Veröffentlichungsprozesses unseres Sicherheitsbulletins.
• Eine Erstbestätigung Ihrer Schwachstellenmeldung erfolgt innerhalb von 3 Werktagen nach Erhalt, wobei wir Ihnen eine Trackingnummer mitteilen.
• Innerhalb von 30 Tagen nach der Erstbestätigung erhalten Sie eine Nachricht über die Annahme der Schwachstelle, in der wir eine Frist für die Behebung vorschlagen. Wenn wir den Bericht nicht annehmen, werden wir dies begründen, bleiben jedoch für neue Informationen über den Bericht offen.
• Sobald die gemeldete Schwachstelle bestätigt wurde, beginnen unsere Techniker mit der Entwicklung der entsprechenden Lösung(en).
• Gelegentlich gibt es Schwachstellen, die nicht innerhalb der 90-Tage-Frist behoben werden können. Wenn mehr Zeit als der normale Vertraulichkeitszeitraum benötigt wird, werden wir in Absprache mit Ihnen den Vertraulichkeitszeitraum verlängern oder Sie anderweitig informieren. Die Lösung eines Problems kann von folgenden Faktoren abhängen:
  
  • Vorgelagerte Anbieter mit anderen Fristen für die Lösung als wir.
  • Erhebliche Änderungen an der Architektur, die erforderlich sind, um die Schwachstelle zu beheben.
  • Komplexe oder erweiterte Prüfanforderungen, die sich aus grundlegenden Firmware-Änderungen ergeben, z. B. bei Schwachstellen in der Festplatten- oder SSD-Firmware.
• Wir veröffentlichen Sicherheitsbulletins nach eigenem Ermessen, um unseren Kunden und der Öffentlichkeit Sicherheitsinformationen zur Verfügung zu stellen. Für das Auffinden und Melden der Sicherheitslücke bieten wir Ihnen an, Sie namentlich im entsprechenden Sicherheitsbulletin und CVE zu nennen, vorausgesetzt:
  • Die gemeldete Sicherheitslücke betrifft ein derzeit unterstütztes Produkt von Western Digital,
  • Wir nehmen eine Code- oder Konfigurationsänderung aufgrund des Problems vor,
  • Sie sind die erste Person, die das Problem meldet,
  • Ihre Nachforschungen wurden in Übereinstimmung mit dieser Richtlinie durchgeführt, und
  • Sie erklären sich mit der namentlichen Nennung einverstanden.

7. Was wir von Ihnen erwarten

Wenn Sie in gutem Glauben an unserem Programm zur Offenlegung von Schwachstellen teilnehmen, bitten wir Sie um Folgendes.

• Halten Sie sich an die Regeln, einschließlich der Befolgung dieser Richtlinie und aller anderen einschlägigen Vereinbarungen. Im Falle von Widersprüchen zwischen dieser Richtlinie und anderen geltenden Bestimmungen haben die Bestimmungen dieser Richtlinie Vorrang.
• Melden Sie jede Schwachstelle, die Sie entdeckt haben, unverzüglich.
• Achten Sie darauf, während der Sicherheitstests Verletzungen der Privatsphäre, Beeinträchtigungen der Benutzer, Störungen der Produktionssysteme und die Beschädigung von Daten zu vermeiden. Im Einzelnen:
  
  • Verursachen Sie keine potenziellen oder tatsächlichen Schäden für unsere Benutzer, Systeme oder Anwendungen, auch nicht durch disruptive Tests wie Denials of Service.
  • Nutzen Sie eine Sicherheitslücke nicht aus, um unautorisiert auf Daten zuzugreifen oder Daten zu beschädigen.
  • Führen Sie keine Angriffe durch, die sich gegen unser Personal, unser Eigentum, unsere Rechenzentren, Partner und verbundenen Unternehmen richten.
  • Führen Sie keine Social-Engineering-Versuche durch und machen Sie gegenüber unseren Mitarbeitern, Auftragnehmern oder verbundenen Unternehmen keine falschen Angaben bezüglich Ihrer Zugehörigkeit oder Ihre Berechtigung zum Zugriff auf unsere Assets.
    
  • Verstoßen Sie nicht gegen Gesetze oder Verträge, um Schwachstellen zu entdecken.
    
• Führen Sie Ihre Nachforschungen nur innerhalb des oben unter Produkt- und Serviceumfang definierten Produktbereichs durch.
• Teilen Sie uns Sicherheitsschwachstellen nur über unser Verfahren zur Meldung von Schwachstellen mit.
  
• Behandeln Sie Informationen über von Ihnen entdeckte Sicherheitslücken vertraulich, bis wir das Problem behoben haben und ein Sicherheitsbulletin veröffentlicht wurde. Geben Sie keine Informationen außerhalb des Vertraulichkeitszeitraums weiter.
• Wenn eine Sicherheitslücke unbeabsichtigten Zugang zu Daten ermöglicht:
  
  • Begrenzen Sie die Datenmenge, auf die Sie zugreifen, auf das Minimum, das für einen wirksamen Nachweis des Konzepts erforderlich ist, und
  • Brechen Sie die Tests ab und reichen Sie sofort einen Bericht ein, wenn Sie während der Tests auf Benutzerdaten wie persönlich identifizierbare Informationen (PII), persönliche Gesundheitsinformationen (PHI), Kreditkartendaten oder geschützte Informationen stoßen.
• Interagieren Sie nur mit Testkonten, die Ihnen gehören oder für die Sie eine ausdrückliche Genehmigung des Kontoinhabers haben.

8. Haftungsausschluss

Wir können die Richtlinie zur Offenlegung von Schwachstellen von Zeit zu Zeit aktualisieren. Lesen Sie diese Richtlinie, bevor Sie Schwachstellenberichte einreichen. Für die Offenlegung gilt die zum Zeitpunkt der Erstbestätigung veröffentlichte Fassung dieser Richtlinie.

9. Änderungsverlauf

Veröffentlicht am: 15.10.2021
Version: 1.1

10. Verweise

Diese Richtlinie stützt sich auf die in den ISO-Dokumenten 29147 30111 dargelegten Leitlinien.
Unser Dank gilt disclose.io für den Entwurf und den Text unter Creative Commons CC-0, die uns bei der Erstellung unserer Richtlinie sehr hilfreich waren.