1. Giới thiệu

Một mục tiêu quan trọng của Western Digital PSIRT (Nhóm Ứng phó Sự cố về Bảo mật Sản phẩm) nhằm bảo vệ an ninh cho người dùng cuối của các sản phẩm Western Digital. Chính sách Tiết lộ Lỗ hổng bảo mật của Western Digital khuyến khích sự đóng góp của các nhà nghiên cứu bảo mật và công chúng, hành động thiện chí và tham gia vào nghiên cứu và tiết lộ lỗ hổng bảo mật có trách nhiệm. Nếu bạn cho rằng mình đã phát hiện ra lỗ hổng bảo mật, dữ liệu bị lộ hoặc các vấn đề bảo mật khác, chúng tôi muốn lắng nghe ý kiến của bạn. Chính sách này phác thảo các bước để báo cáo các lỗ hổng bảo mật cho chúng tôi, làm rõ định nghĩa của Western Digital về thiện chí trong bối cảnh phát hiện và báo cáo các lỗ hổng bảo mật tiềm ẩn, đồng thời giải thích những gì mà các nhà nghiên cứu có thể mong đợi từ Western Digital.

2. Định nghĩa

1. Cửa sổ Bảo mật: Nếu và khi chúng tôi chấp nhận báo cáo về lỗ hổng bảo mật của bạn, mục tiêu của chúng tôi là hoàn thành công việc khắc phục và đưa ra bản sửa lỗi trong vòng 90 ngày kể từ ngày xác nhận ban đầu. Nếu cần thêm thông tin để xác nhận lỗ hổng bảo mật, chúng tôi sẽ liên hệ với bạn. Nếu chúng tôi không nhận được phản hồi sau 3 lần thử, chúng tôi có thể đóng hồ sơ, nhưng chúng tôi vẫn hoan nghênh các thông tin liên lạc trong tương lai.
2. Bản tin An ninh: Bản tin An ninh của chúng tôi được đăng ở đây:
   https://www.westerndigital.com/support/productsecurity
3. Bạn / Người báo cáo Lỗ hổng bảo mật: cá nhân, tổ chức hoặc nhóm hạn chế tiết lộ báo cáo về lỗ hổng bảo mật.
4. Chúng tôi: Trong chính sách này, "chúng tôi" có nghĩa là toàn bộ Western Digital và các thương hiệu của chúng tôi, bao gồm: Western Digital, WD, SanDisk, SanDisk Professional, HGST và G-Technology.
5. Kênh Báo cáo Chính thức: kênh truyền thông để trao đổi về việc tiết lộ lỗ hổng bảo mật: PSIRT@wdc.com.
6. Xác nhận Ban đầu: Đây là ngày chúng tôi trả lời sau khi nhận được báo cáo của bạn cho Nhóm Ứng phó Sự cố về Bảo mật Sản phẩm (Product Security Incident Response Team, PSIRT) với số hồ sơ và ngày tiết lộ 90 ngày.

3. Hướng dẫn Báo cáo Lỗ hổng bảo mật

Để báo cáo vấn đề bảo mật mà bạn tin rằng bạn đã tìm thấy trong một sản phẩm hoặc dịch vụ của Western Digital, vui lòng gửi email thông tin chi tiết về phát hiện của bạn tới kênh báo cáo chính thức. Tin nhắn được gửi đến bất kỳ địa chỉ email nào khác có thể dẫn đến việc phản hồi chậm trễ.
Khi có thể, vui lòng bao gồm những điều sau:

• (Các) sản phẩm hoặc (các) dịch vụ cụ thể bị ảnh hưởng, bao gồm mọi số phiên bản có liên quan;
• Thông tin chi tiết về tác động của vấn đề;
• Bất kỳ thông tin nào có thể giúp tạo lại hoặc chẩn đoán vấn đề, bao gồm Bằng chứng về Khái niệm (Proof of Concept, PoC) nếu có; và
• Cho dù bạn tin rằng lỗ hổng bảo mật đã được tiết lộ công khai hoặc bị các bên thứ ba biết hay không. Vui lòng sử dụng khóa PGP/GPG của chúng tôi để mã hóa thông tin trước khi gửi.

Hãy sử dụng khóa PGP/GPG của chúng tôi để mã hóa thông tin trước khi gửi.

4. Tiết lộ Lỗ hổng Bảo mật được Phối hợp giữa Nhiều Bên

Chúng tôi tuân theo các Hướng dẫn và Thực hành FIRST đối với việc Phối hợp và Tiết lộ Lỗ hổng Bảo mật Nhiều Bên. Các nhà nghiên cứu muốn báo cáo lỗ hổng bảo mật của nhiều bên nhưng mong muốn được hỗ trợ trong việc điều hướng quy trình hoặc phối hợp nhiều bên dễ bị tổn thương có thể liên hệ với chúng tôi. Chúng tôi có thể đưa ra hướng dẫn và đóng vai trò điều phối viên nếu chúng tôi xác nhận việc chấp nhận lỗ hổng bảo mật.

5. Phạm vi Sản phẩm và Dịch vụ

Tất cả các sản phẩm vẫn đang trong giai đoạn cập nhật hiện tại và giới hạn bao gồm các dòng sản phẩm được đề cập bên dưới. Chúng tôi cũng hoan nghênh các báo cáo về lỗ hổng bảo mật trên tất cả các trang web và dịch vụ đám mây của chúng tôi. Tất cả các sản phẩm và dịch vụ đã hết thời hạn sử dụng không được bảo hiểm bởi chính sách tiết lộ lỗ hổng bảo mật này. Đây là danh sách các sản phẩm hiện có trong phạm vi:

• Bộ nhớ Đính kèm Mạng: My Cloud Home, My Cloud, ibi Personal Mobile Storage: My Passport Wireless và iXpand
• Ổ lưu trữ Chuyên nghiệp: G-DRIVE, G-RAID
• WD BLACK
• Ổ lưu trữ Ngoài: My Book, My Passport, WD EasyStore và WD Elements
• Ổ gắn Trong, SSD & Ổ Flash Nhúng
• Ứng dụng Máy tính để bàn và Di động: EdgeRover và SanDisk Memory Zone
• Ổ Flash USB
• Ổ Di động 
• Thẻ nhớ

Xem bên dưới để biết thêm thông tin về vòng đời hỗ trợ sản phẩm của chúng tôi:
SanDisk: https://kb.sandisk.com/app/answers/detail/a_id/22809
G-Technology: https://support.g-technology.com/downloads.aspx?lang=en
Sản phẩm WD: https://www.westerndigital.com/vi-vn/support/software/software-life-cycle-policy

6. Cam kết của Chúng tôi

Khi làm việc với chúng tôi, theo chính sách này:

• Chúng tôi hiện không cung cấp hoặc tham gia vào các chương trình săn lỗi nhận tiền thưởng hiện hành. Chúng tôi sẽ bỏ qua các yêu cầu thanh toán tiền thưởng, tài liệu quảng cáo hoặc tín dụng nằm ngoài quy trình xuất bản Bản tin An ninh của chúng tôi.
• Chúng tôi sẽ đưa ra xác nhận ban đầu đối với báo cáo về lỗ hổng bảo mật của bạn trong vòng 3 ngày làm việc kể từ khi nhận được và chúng tôi sẽ cung cấp mã số theo dõi.
• Chúng tôi sẽ gửi xác nhận về việc chấp nhận lỗ hổng bảo mật trong vòng 30 ngày kể từ ngày xác nhận ban đầu và chúng tôi sẽ bao gồm thời hạn sửa chữa được đề xuất. Nếu chúng tôi không chấp nhận báo cáo, chúng tôi sẽ cung cấp lý do của mình và chúng tôi sẽ tiếp tục đón nhận thông tin mới về báo cáo.
• Khi lỗ hổng được báo cáo đã được xác nhận, các kỹ sư của chúng tôi sẽ làm việc để phát triển (các) bản sửa lỗi thích hợp.
• Đôi khi có những lỗ hổng bảo mật không thể được khắc phục trong thời hạn 90 ngày. Nếu cần nhiều thời gian hơn thời hạn bảo mật thông thường, chúng tôi sẽ làm việc với bạn để mở rộng thời hạn bảo mật hoặc đưa ra lời khuyên khác. Giải pháp có thể phụ thuộc vào:
  
  • Các nhà cung cấp thượng nguồn có khung thời gian giải quyết khác với khung thời gian của chúng tôi.
  • Cần có những thay đổi kiến trúc đáng kể để giải quyết lỗ hổng bảo mật.
  • Các yêu cầu xác thực phức tạp hoặc mở rộng do thay đổi chương trình cơ sở cấp thấp, chẳng hạn như đối với các lỗ hổng chương trình cơ sở ổ cứng hoặc SSD.
• Chúng tôi xuất bản Bản tin An ninh theo quyết định riêng của mình để cung cấp thông tin an ninh cho khách hàng và công chúng. Chúng tôi sẽ xác nhận bạn đã tìm và báo cáo lỗ hổng bảo mật trên Bản tin An ninh và CVE liên quan nếu:
  • Lỗ hổng được báo cáo ảnh hưởng đến một sản phẩm Western Digital hiện được hỗ trợ,
  • Chúng tôi thực hiện thay đổi mã hoặc cấu hình dựa trên sự cố,
  • Bạn là người đầu tiên báo cáo vấn đề,
  • Nghiên cứu của bạn được thực hiện theo chính sách này và
  • Bạn đồng ý với sự xác nhận.

7. Kỳ vọng của Chúng tôi

Khi tham gia vào chương trình tiết lộ lỗ hổng bảo mật của chúng tôi một cách thiện chí, chúng tôi yêu cầu bạn những điều sau đây.

• Tuân theo các quy tắc, bao gồm cả việc tuân theo chính sách này và bất kỳ thỏa thuận liên quan nào khác. Nếu có bất kỳ sự mâu thuẫn nào giữa chính sách này và bất kỳ điều khoản áp dụng nào khác, các điều khoản của chính sách này sẽ được ưu tiên áp dụng.
• Báo cáo mọi lỗ hổng bảo mật mà bạn đã phát hiện kịp thời.
• Cố gắng hết sức để tránh vi phạm quyền riêng tư, suy giảm trải nghiệm người dùng, gián đoạn hệ thống sản xuất và phá hủy dữ liệu trong quá trình kiểm tra an ninh. Đặc biệt:
  
  • Không gây ra thiệt hại tiềm ẩn hoặc thực tế cho người dùng, hệ thống hoặc ứng dụng của chúng tôi, bao gồm cả việc thông qua thử nghiệm phá hủy như Từ chối Dịch vụ.
  • Không khai thác lỗ hổng bảo mật để xem dữ liệu trái phép hoặc làm hỏng bất kỳ dữ liệu nào.
  • Không thực hiện các cuộc tấn công nhắm vào cá nhân, tài sản, trung tâm dữ liệu, đối tác và chi nhánh của chúng tôi.
  • Không thực hiện các nỗ lực tấn công phi kỹ thuật hoặc nói cách khác là xuyên tạc mối quan hệ hoặc ủy quyền của bạn cho bất kỳ nhân viên, nhà thầu hoặc chi nhánh nào của chúng tôi để truy cập tài sản của chúng tôi.
    
  • Không vi phạm bất kỳ luật nào hoặc vi phạm bất kỳ thỏa thuận nào để phát hiện ra các lỗ hổng bảo mật.
    
• Chỉ thực hiện nghiên cứu trong phạm vi sản phẩm được xác định ở trên theo Phạm vi Sản phẩm và Dịch vụ.
• Chỉ thông báo các lỗ hổng bảo mật cho chúng tôi thông qua quy trình báo cáo lỗ hổng bảo mật của chúng tôi.
  
• Giữ bí mật thông tin về bất kỳ lỗ hổng nào bạn đã phát hiện cho đến khi chúng tôi giải quyết xong vấn đề và bản tin an ninh được đăng. Không tiết lộ thông tin bên ngoài cửa sổ bảo mật.
• Nếu một lỗ hổng bảo mật cung cấp quyền truy cập ngoài ý muốn vào dữ liệu:
  
  • Giới hạn số lượng dữ liệu bạn truy cập ở mức tối thiểu cần thiết để thể hiện một cách hiệu quả khái niệm bằng chứng; và
  • Ngừng thử nghiệm và gửi báo cáo ngay lập tức nếu bạn gặp bất kỳ dữ liệu người dùng nào trong quá trình thử nghiệm, chẳng hạn như Thông tin Nhận dạng Cá nhân (Personally Identifiable Information, PII), Thông tin Chăm sóc sức khỏe Cá nhân (Personal Healthcare Information, PHI), dữ liệu thẻ tín dụng hoặc thông tin độc quyền.
• Chỉ tương tác với các tài khoản thử nghiệm mà bạn sở hữu hoặc các tài khoản mà bạn được chủ tài khoản cho phép rõ ràng.

8. Tuyên bố miễn trừ trách nhiệm

Chúng tôi có thể cập nhật Chính sách Tiết lộ Lỗ hổng bảo mật theo thời gian. Vui lòng xem lại chính sách này trước khi gửi báo cáo về lỗ hổng bảo mật. Việc tiết lộ sẽ được điều chỉnh bởi phiên bản của chính sách này được xuất bản tại thời điểm xác nhận ban đầu.

9. Lịch sử Thay đổi

Được phát hành: 15-10-2021
Phiên bản: 1.1

10. Tài liệu tham khảo

Chính sách này dựa trên các hướng dẫn được trình bày trong Tài liệu ISO 29147 & 30111.
Cảm ơn explore.io vì đề cương và văn bản của họ được cung cấp theo Creative Commons CC-0 vì nó rất hữu ích trong việc tạo VDP của chúng tôi.