การสนับสนุน

นโยบายการเปิดเผยข้อมูลช่องโหว่ด้านความปลอดภัยของ Western Digital

1. บทนำ

เป้าหมายสำคัญของ PSIRT ของ Western Digital (ฝ่ายรับมือเหตุการณ์ด้านความปลอดภัยของผลิตภัณฑ์) คือการปกป้องความปลอดภัยของผู้ใช้ปลายทางของผลิตภัณฑ์ Western Digital นโยบายการเปิดเผยข้อมูลช่องโหว่ด้านความปลอดภัยของ Western Digital ส่งเสริมการแสดงความคิดเห็นของบรรดานักวิจัยด้านการรักษาความปลอดภัยและประชาชนทั่วไป การดำเนินการโดยสุจริตใจและมีส่วนร่วมในการวิจัยและการเปิดเผยข้อมูลช่องโหว่ด้านความปลอดภัย หากคุณเชื่อว่าคุณพบช่องโหว่ด้านความปลอดภัยใดๆ ข้อมูลที่ถูกเปิดเผย หรือปัญหาด้านความปลอดภัยอื่นๆ โปรดบอกให้เราทราบ นโยบายนี้จะระบุขั้นตอนการรายงานช่องโหว่ด้านความปลอดภัยแก่เรา อธิบายคำจำกัดความของ Western Digital เกี่ยวกับการดำเนินการโดยสุจริตใจในบริบทของการค้นพบและรายงานช่องโหว่ที่อาจเกิดขึ้น ทั้งยังอธิบายว่าบรรดานักวิจัยสามารถคาดหวังสิ่งใดจาก Western Digital เป็นการตอบแทน

2. คำจำกัดความ

  1. กรอบเวลาการรักษาข้อมูลเป็นความลับ: เมื่อเรายอมรับรายงานช่องโหว่ด้านความปลอดภัยของคุณ เป้าหมายของเราคือการดำเนินการแก้ไขและเปิดเผยการแก้ไขนั้นภายใน 90 วันนับจากที่รับทราบในครั้งแรก หากต้องการข้อมูลเพิ่มเติมเพื่อยืนยันถึงช่องโหว่ด้านความปลอดภัย เราจะติดต่อคุณ หากเราไม่ได้รับคำตอบหลังจากที่ได้พยายามติดต่อคุณแล้ว 3 ครั้ง เราอาจปิดกรณีนี้ แต่เรายังคงยินดีที่จะได้รับการสื่อสารจากคุณในอนาคต
  2. กระดานข่าวด้านความปลอดภัย: กระดานข่าวด้านความปลอดภัย (Security Bulletin) ของเราโพสต์ไว้ที่นี่:
    https://www.westerndigital.com/support/productsecurity
  3. คุณ / ผู้รายงานช่องโหว่ด้านความปลอดภัย: บุคคล องค์กร หรือกลุ่มที่มีสมาชิกจำกัดซึ่งเปิดเผยรายงานช่องโหว่ด้านความปลอดภัย
  4. เรา / พวกเรา: ภายในขอบเขตของนโยบายนี้ "เรา" หมายถึงแบรนด์ Western Digital ทั้งหมดและครอบคลุมแบรนด์ต่างๆ ของเรา ซึ่งรวมถึง Western Digital, WD, SanDisk, SanDisk Professional, HGST และ G-Technology
  5. ช่องทางการรายงานที่เป็นทางการ: ช่องทางการสื่อสารเพื่อแจ้งถึงการเปิดเผยข้อมูลช่องโหว่ด้านความปลอดภัย: PSIRT@wdc.com.
  6. การรับทราบในครั้งแรก: วันที่เราตอบสนองหลังจากได้รับรายงานของคุณที่ส่งถึง PSIRT พร้อมระบุหมายเลขกรณี และวันที่เปิดเผยข้อมูลใน 90 วัน

3. คำแนะนำในการรายงานช่องโหว่ด้านความปลอดภัย

หากต้องการรายงานปัญหาด้านความปลอดภัยที่คุณคิดว่าคุณพบในผลิตภัณฑ์หรือบริการของ Western Digital โปรดแจ้งรายละเอียดสิ่งที่คุณพบผ่านทางอีเมลมายัง ช่องทางการรายงานที่เป็นทางการ ของเรา ข้อความที่ส่งมายังที่อยู่อีเมลอื่นอาจทำให้การตอบสนองต้องล่าช้าออกไป
หากเป็นไปได้ โปรดระบุข้อมูลดังต่อไปนี้

  • ผลิตภัณฑ์หรือบริการเฉพาะที่ได้รับผลกระทบ รวมถึงหมายเลขเวอร์ชันที่เกี่ยวข้อง
  • รายละเอียดผลกระทบของปัญหา
  • ข้อมูลใดๆ ที่จะช่วยการทำซ้ำหรือการวินิจฉัยปัญหา รวมถึงหลักฐานของแนวคิด (PoC) ถ้ามี และ
  • คุณคิดว่าช่องโหว่ด้านความปลอดภัยนี้ถูกเปิดเผยต่อสาธารณะหรือบุคคลภายนอกล่วงรู้หรือไม่ โปรดใช้คีย์ PGP/GPG ของเราเพื่อเข้ารหัสข้อมูลก่อนที่จะส่งมาให้เรา

โปรดใช้ คีย์ PGP/GPG ของเรา เพื่อเข้ารหัสข้อมูลก่อนที่จะส่งมาให้เรา

4. การเปิดเผยข้อมูลช่องโหว่โดยประสานงานกับหลายฝ่าย

เราปฏิบัติตามแนวทางและวิธีปฏิบัติ FIRST สำหรับการประสานงานและการเปิดเผยข้อมูลช่องโหว่ด้านความปลอดภัยแบบหลายฝ่าย บรรดานักวิจัยที่ต้องการรายงานช่องโหว่ด้านความปลอดภัยแบบหลายฝ่าย นอกจากจะต้องการความช่วยเหลือในการนำทางของกระบวนการ หรือประสานงานกับฝ่ายที่อ่อนไหวต่างๆ คุณสามารถติดต่อเรา เราอาจให้คำแนะนำและดำเนินการในฐานะผู้ประสานงาน หากเรายืนยันการยอมรับช่องโหว่ความปลอดภัยนั้น

5. ขอบเขตของผลิตภัณฑ์และบริการ

ผลิตภัณฑ์ทั้งหมดที่ยังคงอยู่ในระยะการอัปเดตในปัจจุบันและการอัปเดตแบบจำกัด รวมถึงตระกูลผลิตภัณฑ์ที่ระบุด้านล่าง นอกจากนี้ เรายังยินดีรับรายงานช่องโหว่ด้านความปลอดภัยบนหน้าเว็บและบริการคลาวด์ต่างๆ ของเราทั้งหมด ผลิตภัณฑ์และบริการทั้งหมดที่เลยวันหมดอายุการใช้งานแล้วจะไม่อยู่ภายใต้นโยบายการเปิดเผยข้อมูลช่องโหว่ด้านความปลอดภัยนี้ ด้านล่างนี้คือรายชื่อผลิตภัณฑ์ที่อยู่ภายในขอบเขตในปัจจุบัน:

  • Network Attached Storage (อุปกรณ์จัดเก็บข้อมูลผ่านระบบเครือข่าย): My Cloud Home, My Cloud, ibi Personal Mobile Storage: My Passport Wireless และ iXpand
  • อุปกรณ์จัดเก็บข้อมูลระดับมืออาชีพ: G-DRIVE, G-RAID
  • WD BLACK
  • อุปกรณ์จัดเก็บข้อมูลภายนอก: My Book, My Passport, WD EasyStore และ WD Elements
  • ไดรฟ์ภายใน, SSD & แฟลชแบบฝัง (Embedded Flash)
  • แอปพลิเคชันสำหรับเดสก์ท็อปและอุปกรณ์มือถือ: EdgeRover และ SanDisk Memory Zone
  • แฟลชไดรฟ์ USB
  • ไดรฟ์แบบพกพา 
  • การ์ดหน่วยความจำ


สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวงจรชีวิตในการสนับสนุนผลิตภัณฑ์ของเรา โปรดดูด้านล่าง:
SanDisk: https://kb.sandisk.com/app/answers/detail/a_id/22809
G-Technology: https://support.g-technology.com/downloads.aspx?lang=en
ผลิตภัณฑ์ WD: https://www.westerndigital.com/th-th/support/software/software-life-cycle-policy

6. พันธกิจของเรา

เมื่อดำเนินการกับเรา โดยเป็นไปตามนโยบายนี้:

  • ปัจจุบันเราไม่เสนอหรือมีส่วนร่วมในโปรแกรมล่าเงินรางวัลใดๆ เราไม่ยอมรับคำขอให้มีการจ่ายเงินรางวัล สิ่งของโปรโมชั่น หรือเครดิตใดๆ ที่นอกเหนือจากกระบวนการเผยแพร่ในกระดานข่าวด้านความปลอดภัยของเรา
  • เราจะ รับทราบในชั้นต้น เกี่ยวกับรายงานช่องโหว่ด้านความปลอดภัยของคุณภายใน 3 วันทำการที่ได้รับรายงาน และเราจะมอบหมายเลขติดตามให้คุณ
  • เราจะส่งการยืนยันการยอมรับชอ่งโหว่ด้านความปลอดภัยภายใน 30 วันหลังจากที่เราได้ รับทราบในชั้นต้น และเราจะระบุวันครบกำหนดในการแก้ไข หากเราไม่ยอมรับรายงาน เราจะแจ้งเหตุผลและเราจะเปิดรับข้อมูลใหม่ๆ เกี่ยวกับรายงานดังกล่าว
  • ทันทีที่ช่องโหว่ที่มีการรายงานได้รับการยืนยัน วิศวกรของเราจะดำเนินการเพื่อพัฒนาวิธีการแก้ไขที่เหมาะสม
  • บางครั้งอาจมีช่องโหว่ด้านความปลอดภัยที่ไม่สามารถแก้ไขได้ภายในกำหนดเวลา 90 วัน หากจำเป็นต้องใช้เวลานานกว่า กรอบเวลาการรักษาข้อมูลเป็นความลับ เราจะดำเนินการร่วมกับคุณเพื่อขยาย กรอบเวลาการรักษาข้อมูลเป็นความลับ ออกไป หรือให้คำแนะนำอื่น การแก้ปัญหาในเรื่องนี้อาจขึ้นอยู่กับ:
    • ผู้ให้บริการขั้นต้นที่มีกรอบเวลาการแก้ไขปัญหาที่แตกต่างไปจากกรอบเวลาของเรา
    • การเปลี่ยนแปลงสถาปัตยกรรมที่สำคัญซึ่งจำเป็นต่อการแก้ไขช่องโหว่นี้
    • ข้อกำหนดการตรวจสอบเพิ่มเติมหรือซับซ้อน อันเป็นผลมาจากการเปลี่ยนแปลงเฟิร์มแวร์ระดับต่ำ เช่น สำหรับช่องโหว่ด้านความปลอดภัยของฮาร์ดไดรฟ์ หรือเฟิร์มแวร์ SSD
  • เราจะเผยแพร่กระดานข่าวด้านความปลอดภัยตามดุลยพินิจของเราเอง เพื่อให้ข้อมูลด้านการรักษาความปลอดภัยแก่ลูกค้าของเราและประชาชนทั่วไป เราจะส่งหนังสือตอบรับถึงคุณในส่วนที่เกี่ยวกับการค้นพบและการรายงานช่องโหว่บน กระดานข่าวด้านความปลอดภัย และ CVE ในกรณีดังต่อไปนี้
    • ช่องโหว่ด้านความปลอดภัยที่รายงานส่งผลกระทบต่อผลิตภัณฑ์ Western Digital ที่ได้รับการสนับสนุนในปัจจุบัน
    • เราทำการเปลี่ยนแปลงรหัสหรือการกำหนดค่าโดยอิงตามปัญหานี้
    • คุณเป็นคนแรกที่รายงานปัญหานี้
    • การวิจัยของคุณดำเนินการโดยสอดคล้องกับนโยบายนี้ และ
    • คุณให้ความยินยอมต่อการรับทราบนี้

7. ความคาดหวังของเรา

ในการเข้าร่วมโปรแกรมการเปิดเผยข้อมูลช่องโหว่ด้านความปลอดภัยโดยสุจริตใจ เราขอให้คุณดำเนินการดังนี้

  • เล่นตามกติกา รวมถึงการปฏิบัติตามนโยบายนี้และข้อตกลงที่เกี่ยวข้องอื่นใด หากมีข้อแตกต่างใดๆ ระหว่างข้อกำหนดของนโยบายนี้กับข้อกำหนดอื่นที่มีผลบังคับใช้ ให้ถือว่าข้อกำหนดของนโยบายนี้มีผลเหนือกว่า
  • รายงานช่องโหว่ด้านความปลอดภัยที่คุณพบให้เราทราบโดยทันที
  • ใช้ความพยายามอย่างเต็มที่ในการหลีกเลี่ยงการละเมิดความเป็นส่วนตัว การทำให้ประสบการณ์การใช้งานต้องด้อยลง การขัดจังหวะระบบการผลิต และการทำลายข้อมูลในระหว่างการทดสอบด้านความปลอดภัย โดยเฉพาะอย่างยิ่ง:
    • ไม่ก่อให้เกิดหรือเกิดความเสียหายจริงต่อผู้ใช้ ระบบ หรือแอปพลิเคชันของเรา รวมถึงผ่านการทดสอบการรบกวน เช่น การปฏิเสธการบริการ (Denials of Service)
    • ไม่ใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยในทางที่ผิดเพื่อดูข้อมูลที่ไม่ได้รับอนุญาตหรือทำให้ข้อมูลใดๆ เสียไป
    • ไม่โจมตีโดยมุ่งเป้าที่บุคลากร ทรัพย์สิน ศูนย์ข้อมูล พันธมิตร และบริษัทในเครือ
    • ไม่พยายามใช้กลวิธีทางจิตวิทยา (Social Engineering) หรือหลอกลวงว่าคุณเกี่ยวข้องหรือได้รับอนุญาตจากเรา และติดต่อไปยังพนักงาน ผู้รับจ้าง หรือบริษัทในเครือใดๆ ของเราเพื่อเข้าถึงสินทรัพย์ของเรา
    • ไม่ฝ่าฝืนกฎหมายหรือละเมิดข้อตกลงใดๆ เพื่อที่จะค้นพบช่องโหว่ด้านความปลอดภัย
  • ทำการวิจัยภายในขอบเขตผลิตภัณฑ์ที่ระบุไว้ข้างต้นภายใต้หัวข้อขอบเบตผลิตภัณฑ์และบริการ
  • แจ้งให้เราทราบถึงช่องโหว่ด้านความปลอดภัยผ่านกระบวนการรายงานช่องโหว่ด้านความปลอดภัยของเราเท่านั้น
  • รักษาความลับของข้อมูลที่คุณพบเกี่ยวกับช่องโหว่ด้านความปลอดภัยใดๆ จนกว่าเราจะได้แก้ไขปัญหาและมีการโพสต์ลงใน กระดานข่าวด้านความปลอดภัย อย่าเปิดเผยข้อมูลที่อยู่นอกกรอบเวลาการรักษาความลับ
  • ถ้าช่องโหว่ด้านความปลอดภัยนั้นระบุช่องทางการเข้าถึงข้อมูลโดยไม่ได้ตั้งใจ ให้ปฏิบัติดังนี้
    • จำกัดปริมาณข้อมูลที่คุณเข้าถึงได้ให้เหลือน้อยที่สุดเท่าที่จำเป็นในการแสดงใหลักฐานของแนวคิดดังกล่าวได้อย่างมีประสิทธิผล และ
    • หยุดทดสอบและส่งรายงานทันทีถ้าคุณพบข้อมูลของผู้ใช้ใดๆ ในระหว่างการทดสอบ เช่น ข้อมูลที่สามารถระบุตัวบุคคล (PII) ข้อมูลด้านการดูแลสุขภาพส่วนตัว (PHI) ข้อมูลบัตรเครดิต หรือข้อมูลที่มีกรรมสิทธิ์
  • ให้ดำเนินการกับบัญชีทดสอบที่คุณเป็นเจ้าของ หรือบัญชีที่คุณได้รับอนุญาตโดยชัดแจ้งจากเจ้าของบัญชีเท่านั้น

8. การปฏิเสธความรับผิด

เราอาจอัปเดตนโยบายการเปิดเผยข้อมูลช่องโหว่ด้านความปลอดภัยได้ในบางครั้ง โปรดทบทวนนโยบายนี้ก่อนที่จะส่งรายงานช่องโหว่ด้านความปลอดภัย การเปิดเผยข้อมูลจะอยู่ภายใต้กำกับดูแลของนโยบายนี้ในเวอร์ชันที่เผยแพร่ ณ เวลาที่มีการรับทราบในชั้นต้น

9. ประวัติการเปลี่ยนแปลง

เผยแพร่เมื่อ: 2021-10-15
เวอร์ชัน: 1.1

10. ข้อมูลอ้างอิง

นโยบายนี้อิงตามแนวทางที่นำเสนอในเอกสารมาตรฐาน ISO 29147 & 30111
ขอขอบคุณ disclose.io สำหรับเค้าโครงของพวกเขาและข้อความที่จัดหาให้ภายใต้ Creative Commons CC-0 เนื่องจากเป็นประโยชน์มากในการจัดทำ VDP ของเรา

เปรียบเทียบ