Soporte Product Security

Soporte

Política de divulgación de vulnerabilidades de Western Digital

1. Introducción

Un objetivo importante del equipo de respuesta a incidentes de seguridad de productos (PSIRT) de Western Digital es proteger la seguridad de los usuarios finales de los productos de Western Digital. La Política de divulgación de vulnerabilidades de Western Digital incentiva la colaboración de investigadores de seguridad y del público en general para que actúen de buena fe y se involucren en una investigación y una divulgación responsables de vulnerabilidades. Si cree haber detectado una vulnerabilidad, una exposición de datos u otros problemas de seguridad, queremos escucharlo. Esta política describe los pasos para informarnos las vulnerabilidades, aclara la definición de Western Digital de buena fe en el contexto del descubrimiento y de la información de vulnerabilidades potenciales, y explica qué pueden esperar a cambio los investigadores por parte de Western Digital.

2. Definiciones

  1. Periodo de confidencialidad: Si aceptamos su informe de vulnerabilidad y cuando lo aceptemos, nuestro objetivo será completar el trabajo de resolución y lanzar una corrección dentro de los 90 días posteriores a la toma de conocimiento inicial. Si se requiere información adicional para confirmar la vulnerabilidad, nos pondremos en contacto con usted. Si no recibimos ninguna respuesta luego de tres intentos, podremos cerrar el caso, aunque seguiremos recibiendo con agrado futuras comunicaciones.
  2. Boletines de seguridad: Nuestros boletines de seguridad se publican en el siguiente enlace:
    https://www.westerndigital.com/support/productsecurity
  3. Usted/quien informa la vulnerabilidad: persona, organización o grupo limitado que revela un informe de vulnerabilidad.
  4. Nosotros: en esta política, “nosotros” se refiere a todo Western Digital y abarca nuestras marcas, incluidas las siguientes: Western Digital, WD, SanDisk, SanDisk Professional, HGST y G-Technology.
  5. Canal oficial de informes: el canal de comunicaciones para divulgaciones de vulnerabilidades, PSIRT@wdc.com.
  6. Toma de conocimiento inicial: esta es la fecha en la que respondemos después de recibir su informe a PSIRT con un número de caso y una fecha de divulgación de 90 días.

3. Instrucciones de los informes de vulnerabilidades

Para informar un problema de seguridad que crea haber encontrado en un producto o un servicio de Western Digital, envíe por correo electrónico los detalles de dicho problema a nuestro canal oficial de informes. Los mensajes que se envíen a cualquier otra dirección de correo electrónico pueden acarrear una demora en la respuesta.
Si es posible, incluya lo siguiente:

  • el o los productos o servicios específicos afectados, incluido cualquier número de versión relevante;
  • los detalles del impacto del problema;
  • toda información que pueda ayudar a reproducir o diagnosticar el problema, incluida una prueba de concepto (PoC), si estuviera disponible; y
  • si cree que la vulnerabilidad ya se reveló públicamente o se dio a conocer a terceros. Use nuestra clave PGP/GPG para cifrar la información antes de enviarla.

Use nuestra clave PGP/GPG para cifrar la información antes de enviarla.

4. Divulgación de vulnerabilidades coordinada entre varias partes

Seguimos las pautas y las prácticas FIRST para la divulgación y coordinación de vulnerabilidades entre varias partes. Los investigadores que deseen informar una vulnerabilidad de varias partes pero que deseen obtener ayuda para atravesar el proceso o para coordinar a varias partes vulnerables pueden comunicarse con nosotros. Podemos servir de guía y actuar como coordinador si confirmamos la aceptación de la vulnerabilidad.

5. Alcance de productos y servicios

Todos los productos que todavía se encuentran en la fase de actualizaciones actuales y limitadas, incluidas las familias de productos mencionadas a continuación. También recibimos con agrado los informes de vulnerabilidades en todas nuestras páginas web y servicios en la nube. Ninguno de los productos y los servicios cuya vida útil ha terminado está cubierto por esta política de divulgación de vulnerabilidades. Esta es la lista de productos que se encuentran alcanzados en la actualidad:

  • Almacenamiento adjunto a red: My Cloud Home, My Cloud, ibi Personal Mobile Storage: My Passport Wireless e iXpand
  • Almacenamiento profesional: G-DRIVE, G-RAID
  • WD BLACK
  • Almacenamiento externo: My Book, My Passport, WD EasyStore y WD Elements
  • Discos internos, SSD y unidades flash integradas
  • Aplicaciones móviles y de escritorio: EdgeRover y SanDisk Memory Zone
  • Unidades flash USB
  • Discos portátiles 
  • Tarjetas de memoria


Consulte los enlaces a continuación para obtener más información acerca del ciclo de vida de soporte de nuestros productos:
SanDisk: https://kb.sandisk.com/app/answers/detail/a_id/22809
G-Technology: https://support.g-technology.com/downloads.aspx?lang=en
Productos de WD: https://www.westerndigital.com/es-la/support/software/software-life-cycle-policy

6. Nuestros compromisos

Cuando trabaje con nosotros, de acuerdo con esta política:

  • Actualmente no ofrecemos programas permanentes de recompensa por errores ni participamos en ellos. No aceptamos solicitudes de pago de recompensas, material promocional ni crédito fuera de nuestro proceso de publicación del boletín de seguridad.
  • Primero acusaremos recibo de su informe de vulnerabilidad dentro de los 3 días hábiles de la recepción y le proporcionaremos un número de seguimiento.
  • Le enviaremos una confirmación de aceptación de vulnerabilidad dentro de los 30 días de nuestro acuse de recibo inicial e incluiremos una fecha límite para la corrección propuesta. Si no aceptamos el informe, le proporcionaremos los fundamentos y nos mantendremos abiertos a recibir nueva información respecto del informe.
  • Una vez que la vulnerabilidad informada se haya confirmado, nuestros ingenieros trabajarán en el desarrollo de la corrección o las correcciones adecuadas.
  • Algunas veces, hay vulnerabilidades que no se pueden resolver dentro del periodo de 90 días. Si se requiere más tiempo del correspondiente al periodo de confidencialidad normal, coordinaremos con usted para extender el periodo de confidencialidad o acordaremos de otra manera. La resolución puede depender de lo siguiente:
    • los proveedores superiores que poseen periodos de resolución diferentes a los nuestros
    • los cambios sustanciales de arquitectura requeridos para abordar la vulnerabilidad
    • los requisitos de validación complejos o ampliados que resulten de los cambios de firmware de bajo nivel, como las vulnerabilidades de firmware de discos duros o SSD
  • Publicamos boletines de seguridad a nuestra propia discreción para proporcionar información de seguridad a nuestros clientes y al público. Le ofreceremos un reconocimiento en el boletín de seguridad y el CVE relacionados por haber encontrado e informado la vulnerabilidad, si se cumplen las siguientes condiciones:
    • La vulnerabilidad informada afecta un producto respaldado actualmente por Western Digital.
    • Nosotros aplicamos un cambio de código o configuración en función del problema.
    • Usted es el primero en informar el problema.
    • Su investigación se lleva a cabo de acuerdo con esta política.
    • Usted consiente el reconocimiento.

7. Nuestras expectativas

Para participar en nuestro programa de divulgación de vulnerabilidades de buena fe, le pedimos lo siguiente.

  • Siga las reglas, incluido el cumplimiento de esta política y cualquier otro acuerdo relevante. Si hay alguna inconsistencia entre esta política y cualquier otro término aplicable, las cláusulas de esta política prevalecerán.
  • Informe de inmediato cualquier vulnerabilidad que haya descubierto.
  • Realice todos los esfuerzos para evitar las violaciones de privacidad, el deterioro de la experiencia del usuario, la interrupción de los sistemas de producción y la destrucción de datos durante las pruebas de seguridad. En particular:
    • No cause daño real ni potencial a nuestros usuarios, sistemas ni aplicaciones, incluso a través de pruebas disruptivas, como las denegaciones de servicio.
    • No se aproveche de una vulnerabilidad para visualizar datos no autorizados ni corromper datos.
    • No lleve a cabo ataques que tengan como objetivo nuestro personal, propiedad, centros de datos, socios y empresas afiliadas.
    • No realice intentos de ingeniería social ni tergiverse de otra manera su afiliación o autorización ante ninguno de nuestros empleados, contratistas ni afiliados para acceder a nuestros activos.
    • No viole ninguna ley ni incumpla ningún acuerdo con el fin de descubrir vulnerabilidades.
  • Lleve a cabo investigaciones solo dentro del alcance de productos definido con anterioridad en Alcance de productos y servicios.
  • Comuníquenos las vulnerabilidades de seguridad solo por medio de nuestro proceso de informe de vulnerabilidades.
  • Mantenga la información referida a cualquier vulnerabilidad que haya descubierto en confidencialidad hasta que hayamos resuelto el problema y se haya publicado un boletín de seguridad. No revele información fuera del periodo de confidencialidad.
  • Si una vulnerabilidad brinda acceso no intencionado a datos:
    • Limite la cantidad de datos a los que acceda al mínimo requerido para demostrar de forma eficaz una prueba de concepto.
    • Deje de efectuar pruebas y envíe un informe de inmediato si encuentra datos de usuarios durante la prueba, como información de identificación personal (PII), información personal de salud (PHI), datos de tarjetas de crédito o información de propiedad.
  • Solo interactúe con cuentas de prueba de su propiedad o con cuentas para las que tiene un permiso explícito por parte del titular de la cuenta.

8. Descargo de responsabilidad

Es posible que actualicemos la Política de divulgación de vulnerabilidades cada cierto tiempo. Revise esta política antes de enviar informes de vulnerabilidades. Las divulgaciones se regirán por la versión de esta política que se haya publicado al momento de la toma de conocimiento inicial.

9. Historial de cambios

Publicado: 15/10/2021
Versión: 1.1

10. Referencias

Esta política se basa en las pautas presentadas en los documentos ISO 29147 y 30111.
Agradecemos a disclose.io por su esquema y el texto proporcionado bajo Creative Commons CC-0, ya que fue muy útil para crear nuestro VDP.