การสนับสนุน
นโยบายการเปิดเผยข้อมูลช่องโหว่ด้านความปลอดภัยของ Western Digital
1. บทนำ
เป้าหมายสำคัญของ PSIRT ของ Western Digital (ฝ่ายรับมือเหตุการณ์ด้านความปลอดภัยของผลิตภัณฑ์) คือการปกป้องความปลอดภัยของผู้ใช้ปลายทางของผลิตภัณฑ์ Western Digital นโยบายการเปิดเผยข้อมูลช่องโหว่ด้านความปลอดภัยของ Western Digital ส่งเสริมการแสดงความคิดเห็นของบรรดานักวิจัยด้านการรักษาความปลอดภัยและประชาชนทั่วไป การดำเนินการโดยสุจริตใจและมีส่วนร่วมในการวิจัยและการเปิดเผยข้อมูลช่องโหว่ด้านความปลอดภัย หากคุณเชื่อว่าคุณพบช่องโหว่ด้านความปลอดภัยใดๆ ข้อมูลที่ถูกเปิดเผย หรือปัญหาด้านความปลอดภัยอื่นๆ โปรดบอกให้เราทราบ นโยบายนี้จะระบุขั้นตอนการรายงานช่องโหว่ด้านความปลอดภัยแก่เรา อธิบายคำจำกัดความของ Western Digital เกี่ยวกับการดำเนินการโดยสุจริตใจในบริบทของการค้นพบและรายงานช่องโหว่ที่อาจเกิดขึ้น ทั้งยังอธิบายว่าบรรดานักวิจัยสามารถคาดหวังสิ่งใดจาก Western Digital เป็นการตอบแทน
2. คำจำกัดความ
- กรอบเวลาการรักษาข้อมูลเป็นความลับ: เมื่อเรายอมรับรายงานช่องโหว่ด้านความปลอดภัยของคุณ เป้าหมายของเราคือการดำเนินการแก้ไขและเปิดเผยการแก้ไขนั้นภายใน 90 วันนับจากที่รับทราบในครั้งแรก หากต้องการข้อมูลเพิ่มเติมเพื่อยืนยันถึงช่องโหว่ด้านความปลอดภัย เราจะติดต่อคุณ หากเราไม่ได้รับคำตอบหลังจากที่ได้พยายามติดต่อคุณแล้ว 3 ครั้ง เราอาจปิดกรณีนี้ แต่เรายังคงยินดีที่จะได้รับการสื่อสารจากคุณในอนาคต
- กระดานข่าวด้านความปลอดภัย: กระดานข่าวด้านความปลอดภัย (Security Bulletin) ของเราโพสต์ไว้ที่นี่:
https://www.westerndigital.com/support/productsecurity - คุณ / ผู้รายงานช่องโหว่ด้านความปลอดภัย: บุคคล องค์กร หรือกลุ่มที่มีสมาชิกจำกัดซึ่งเปิดเผยรายงานช่องโหว่ด้านความปลอดภัย
- เรา / พวกเรา: ภายในขอบเขตของนโยบายนี้ "เรา" หมายถึงแบรนด์ Western Digital ทั้งหมดและครอบคลุมแบรนด์ต่างๆ ของเรา ซึ่งรวมถึง Western Digital, WD, SanDisk, SanDisk Professional, HGST และ G-Technology
- ช่องทางการรายงานที่เป็นทางการ: ช่องทางการสื่อสารเพื่อแจ้งถึงการเปิดเผยข้อมูลช่องโหว่ด้านความปลอดภัย: PSIRT@wdc.com.
- การรับทราบในครั้งแรก: วันที่เราตอบสนองหลังจากได้รับรายงานของคุณที่ส่งถึง PSIRT พร้อมระบุหมายเลขกรณี และวันที่เปิดเผยข้อมูลใน 90 วัน
3. คำแนะนำในการรายงานช่องโหว่ด้านความปลอดภัย
หากต้องการรายงานปัญหาด้านความปลอดภัยที่คุณคิดว่าคุณพบในผลิตภัณฑ์หรือบริการของ Western Digital โปรดแจ้งรายละเอียดสิ่งที่คุณพบผ่านทางอีเมลมายัง ช่องทางการรายงานที่เป็นทางการ ของเรา ข้อความที่ส่งมายังที่อยู่อีเมลอื่นอาจทำให้การตอบสนองต้องล่าช้าออกไป
หากเป็นไปได้ โปรดระบุข้อมูลดังต่อไปนี้
- ผลิตภัณฑ์หรือบริการเฉพาะที่ได้รับผลกระทบ รวมถึงหมายเลขเวอร์ชันที่เกี่ยวข้อง
- รายละเอียดผลกระทบของปัญหา
- ข้อมูลใดๆ ที่จะช่วยการทำซ้ำหรือการวินิจฉัยปัญหา รวมถึงหลักฐานของแนวคิด (PoC) ถ้ามี และ
- คุณคิดว่าช่องโหว่ด้านความปลอดภัยนี้ถูกเปิดเผยต่อสาธารณะหรือบุคคลภายนอกล่วงรู้หรือไม่ โปรดใช้คีย์ PGP/GPG ของเราเพื่อเข้ารหัสข้อมูลก่อนที่จะส่งมาให้เรา
โปรดใช้ คีย์ PGP/GPG ของเรา เพื่อเข้ารหัสข้อมูลก่อนที่จะส่งมาให้เรา
4. การเปิดเผยข้อมูลช่องโหว่โดยประสานงานกับหลายฝ่าย
เราปฏิบัติตามแนวทางและวิธีปฏิบัติ FIRST สำหรับการประสานงานและการเปิดเผยข้อมูลช่องโหว่ด้านความปลอดภัยแบบหลายฝ่าย บรรดานักวิจัยที่ต้องการรายงานช่องโหว่ด้านความปลอดภัยแบบหลายฝ่าย นอกจากจะต้องการความช่วยเหลือในการนำทางของกระบวนการ หรือประสานงานกับฝ่ายที่อ่อนไหวต่างๆ คุณสามารถติดต่อเรา เราอาจให้คำแนะนำและดำเนินการในฐานะผู้ประสานงาน หากเรายืนยันการยอมรับช่องโหว่ความปลอดภัยนั้น
5. ขอบเขตของผลิตภัณฑ์และบริการ
ผลิตภัณฑ์ทั้งหมดที่ยังคงอยู่ในระยะการอัปเดตในปัจจุบันและการอัปเดตแบบจำกัด รวมถึงตระกูลผลิตภัณฑ์ที่ระบุด้านล่าง นอกจากนี้ เรายังยินดีรับรายงานช่องโหว่ด้านความปลอดภัยบนหน้าเว็บและบริการคลาวด์ต่างๆ ของเราทั้งหมด ผลิตภัณฑ์และบริการทั้งหมดที่เลยวันหมดอายุการใช้งานแล้วจะไม่อยู่ภายใต้นโยบายการเปิดเผยข้อมูลช่องโหว่ด้านความปลอดภัยนี้ ด้านล่างนี้คือรายชื่อผลิตภัณฑ์ที่อยู่ภายในขอบเขตในปัจจุบัน:
- Network Attached Storage (อุปกรณ์จัดเก็บข้อมูลผ่านระบบเครือข่าย): My Cloud Home, My Cloud, ibi Personal Mobile Storage: My Passport Wireless และ iXpand
- อุปกรณ์จัดเก็บข้อมูลระดับมืออาชีพ: G-DRIVE, G-RAID
- WD BLACK
- อุปกรณ์จัดเก็บข้อมูลภายนอก: My Book, My Passport, WD EasyStore และ WD Elements
- ไดรฟ์ภายใน, SSD & แฟลชแบบฝัง (Embedded Flash)
- แอปพลิเคชันสำหรับเดสก์ท็อปและอุปกรณ์มือถือ: EdgeRover และ SanDisk Memory Zone
- แฟลชไดรฟ์ USB
- ไดรฟ์แบบพกพา
- การ์ดหน่วยความจำ
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวงจรชีวิตในการสนับสนุนผลิตภัณฑ์ของเรา โปรดดูด้านล่าง:
SanDisk: https://kb.sandisk.com/app/answers/detail/a_id/22809
G-Technology: https://support.g-technology.com/downloads.aspx?lang=en
ผลิตภัณฑ์ WD: https://www.westerndigital.com/th-th/support/software/software-life-cycle-policy
6. พันธกิจของเรา
เมื่อดำเนินการกับเรา โดยเป็นไปตามนโยบายนี้:
- ปัจจุบันเราไม่เสนอหรือมีส่วนร่วมในโปรแกรมล่าเงินรางวัลใดๆ เราไม่ยอมรับคำขอให้มีการจ่ายเงินรางวัล สิ่งของโปรโมชั่น หรือเครดิตใดๆ ที่นอกเหนือจากกระบวนการเผยแพร่ในกระดานข่าวด้านความปลอดภัยของเรา
- เราจะ รับทราบในชั้นต้น เกี่ยวกับรายงานช่องโหว่ด้านความปลอดภัยของคุณภายใน 3 วันทำการที่ได้รับรายงาน และเราจะมอบหมายเลขติดตามให้คุณ
- เราจะส่งการยืนยันการยอมรับชอ่งโหว่ด้านความปลอดภัยภายใน 30 วันหลังจากที่เราได้ รับทราบในชั้นต้น และเราจะระบุวันครบกำหนดในการแก้ไข หากเราไม่ยอมรับรายงาน เราจะแจ้งเหตุผลและเราจะเปิดรับข้อมูลใหม่ๆ เกี่ยวกับรายงานดังกล่าว
- ทันทีที่ช่องโหว่ที่มีการรายงานได้รับการยืนยัน วิศวกรของเราจะดำเนินการเพื่อพัฒนาวิธีการแก้ไขที่เหมาะสม
- บางครั้งอาจมีช่องโหว่ด้านความปลอดภัยที่ไม่สามารถแก้ไขได้ภายในกำหนดเวลา 90 วัน หากจำเป็นต้องใช้เวลานานกว่า กรอบเวลาการรักษาข้อมูลเป็นความลับ เราจะดำเนินการร่วมกับคุณเพื่อขยาย กรอบเวลาการรักษาข้อมูลเป็นความลับ ออกไป หรือให้คำแนะนำอื่น การแก้ปัญหาในเรื่องนี้อาจขึ้นอยู่กับ:
- ผู้ให้บริการขั้นต้นที่มีกรอบเวลาการแก้ไขปัญหาที่แตกต่างไปจากกรอบเวลาของเรา
- การเปลี่ยนแปลงสถาปัตยกรรมที่สำคัญซึ่งจำเป็นต่อการแก้ไขช่องโหว่นี้
- ข้อกำหนดการตรวจสอบเพิ่มเติมหรือซับซ้อน อันเป็นผลมาจากการเปลี่ยนแปลงเฟิร์มแวร์ระดับต่ำ เช่น สำหรับช่องโหว่ด้านความปลอดภัยของฮาร์ดไดรฟ์ หรือเฟิร์มแวร์ SSD
- เราจะเผยแพร่กระดานข่าวด้านความปลอดภัยตามดุลยพินิจของเราเอง เพื่อให้ข้อมูลด้านการรักษาความปลอดภัยแก่ลูกค้าของเราและประชาชนทั่วไป เราจะส่งหนังสือตอบรับถึงคุณในส่วนที่เกี่ยวกับการค้นพบและการรายงานช่องโหว่บน กระดานข่าวด้านความปลอดภัย และ CVE ในกรณีดังต่อไปนี้
- ช่องโหว่ด้านความปลอดภัยที่รายงานส่งผลกระทบต่อผลิตภัณฑ์ Western Digital ที่ได้รับการสนับสนุนในปัจจุบัน
- เราทำการเปลี่ยนแปลงรหัสหรือการกำหนดค่าโดยอิงตามปัญหานี้
- คุณเป็นคนแรกที่รายงานปัญหานี้
- การวิจัยของคุณดำเนินการโดยสอดคล้องกับนโยบายนี้ และ
- คุณให้ความยินยอมต่อการรับทราบนี้
7. ความคาดหวังของเรา
ในการเข้าร่วมโปรแกรมการเปิดเผยข้อมูลช่องโหว่ด้านความปลอดภัยโดยสุจริตใจ เราขอให้คุณดำเนินการดังนี้
- เล่นตามกติกา รวมถึงการปฏิบัติตามนโยบายนี้และข้อตกลงที่เกี่ยวข้องอื่นใด หากมีข้อแตกต่างใดๆ ระหว่างข้อกำหนดของนโยบายนี้กับข้อกำหนดอื่นที่มีผลบังคับใช้ ให้ถือว่าข้อกำหนดของนโยบายนี้มีผลเหนือกว่า
- รายงานช่องโหว่ด้านความปลอดภัยที่คุณพบให้เราทราบโดยทันที
- ใช้ความพยายามอย่างเต็มที่ในการหลีกเลี่ยงการละเมิดความเป็นส่วนตัว การทำให้ประสบการณ์การใช้งานต้องด้อยลง การขัดจังหวะระบบการผลิต และการทำลายข้อมูลในระหว่างการทดสอบด้านความปลอดภัย โดยเฉพาะอย่างยิ่ง:
- ไม่ก่อให้เกิดหรือเกิดความเสียหายจริงต่อผู้ใช้ ระบบ หรือแอปพลิเคชันของเรา รวมถึงผ่านการทดสอบการรบกวน เช่น การปฏิเสธการบริการ (Denials of Service)
- ไม่ใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยในทางที่ผิดเพื่อดูข้อมูลที่ไม่ได้รับอนุญาตหรือทำให้ข้อมูลใดๆ เสียไป
- ไม่โจมตีโดยมุ่งเป้าที่บุคลากร ทรัพย์สิน ศูนย์ข้อมูล พันธมิตร และบริษัทในเครือ
- ไม่พยายามใช้กลวิธีทางจิตวิทยา (Social Engineering) หรือหลอกลวงว่าคุณเกี่ยวข้องหรือได้รับอนุญาตจากเรา และติดต่อไปยังพนักงาน ผู้รับจ้าง หรือบริษัทในเครือใดๆ ของเราเพื่อเข้าถึงสินทรัพย์ของเรา
- ไม่ฝ่าฝืนกฎหมายหรือละเมิดข้อตกลงใดๆ เพื่อที่จะค้นพบช่องโหว่ด้านความปลอดภัย
- ทำการวิจัยภายในขอบเขตผลิตภัณฑ์ที่ระบุไว้ข้างต้นภายใต้หัวข้อขอบเบตผลิตภัณฑ์และบริการ
- แจ้งให้เราทราบถึงช่องโหว่ด้านความปลอดภัยผ่านกระบวนการรายงานช่องโหว่ด้านความปลอดภัยของเราเท่านั้น
- รักษาความลับของข้อมูลที่คุณพบเกี่ยวกับช่องโหว่ด้านความปลอดภัยใดๆ จนกว่าเราจะได้แก้ไขปัญหาและมีการโพสต์ลงใน กระดานข่าวด้านความปลอดภัย อย่าเปิดเผยข้อมูลที่อยู่นอกกรอบเวลาการรักษาความลับ
- ถ้าช่องโหว่ด้านความปลอดภัยนั้นระบุช่องทางการเข้าถึงข้อมูลโดยไม่ได้ตั้งใจ ให้ปฏิบัติดังนี้
- จำกัดปริมาณข้อมูลที่คุณเข้าถึงได้ให้เหลือน้อยที่สุดเท่าที่จำเป็นในการแสดงใหลักฐานของแนวคิดดังกล่าวได้อย่างมีประสิทธิผล และ
- หยุดทดสอบและส่งรายงานทันทีถ้าคุณพบข้อมูลของผู้ใช้ใดๆ ในระหว่างการทดสอบ เช่น ข้อมูลที่สามารถระบุตัวบุคคล (PII) ข้อมูลด้านการดูแลสุขภาพส่วนตัว (PHI) ข้อมูลบัตรเครดิต หรือข้อมูลที่มีกรรมสิทธิ์
- ให้ดำเนินการกับบัญชีทดสอบที่คุณเป็นเจ้าของ หรือบัญชีที่คุณได้รับอนุญาตโดยชัดแจ้งจากเจ้าของบัญชีเท่านั้น
8. การปฏิเสธความรับผิด
เราอาจอัปเดตนโยบายการเปิดเผยข้อมูลช่องโหว่ด้านความปลอดภัยได้ในบางครั้ง โปรดทบทวนนโยบายนี้ก่อนที่จะส่งรายงานช่องโหว่ด้านความปลอดภัย การเปิดเผยข้อมูลจะอยู่ภายใต้กำกับดูแลของนโยบายนี้ในเวอร์ชันที่เผยแพร่ ณ เวลาที่มีการรับทราบในชั้นต้น
9. ประวัติการเปลี่ยนแปลง
เผยแพร่เมื่อ: 2021-10-15
เวอร์ชัน: 1.1
10. ข้อมูลอ้างอิง
นโยบายนี้อิงตามแนวทางที่นำเสนอในเอกสารมาตรฐาน ISO 29147 & 30111
ขอขอบคุณ disclose.io สำหรับเค้าโครงของพวกเขาและข้อความที่จัดหาให้ภายใต้ Creative Commons CC-0 เนื่องจากเป็นประโยชน์มากในการจัดทำ VDP ของเรา