Сообщение об уязвимостях

• Amazon Web Services (AWS): чтобы сообщить об уязвимости или проблеме безопасности облачных сервисов AWS либо проектов с открытым исходным кодом, посетите нашу программу раскрытия уязвимостей на HackerOne. Для отправки материалов, выходящих за рамки области и (или) платформы H1, либо для ответа на любые вопросы обращайтесь по адресу aws-security@amazon.com (ключ PGP).
• Amazon: уведомите отдел безопасности розничной торговли об уязвимости или проблемах безопасности, связанных с сервисами или продуктами Amazon Retail.
• Проверки уязвимостей: клиенты AWS могут без предварительного согласования проводить оценки безопасности и проверки уязвимостей используемой ими инфраструктуры в перечисленных сервисах. Дополнительные рекомендации см. в политике проверки уязвимостей.
• Злоупотребление ресурсами AWS: если вы подозреваете, что ресурсы AWS (например, инстанс EC2 или корзина S3) используются в подозрительных целях, заполните форму AWS о злоупотреблении ресурсами или обратитесь по адресу trustandsafety@support.aws.com.

Чтобы мы могли эффективно отреагировать на ваше сообщение, просим предоставить в запросе подтверждающие материалы (код, выходные данные программного средства и т. д.), которые помогут нам определить характер и серьезность уязвимости.

Amazon CNA выпустит CVE, которые помогут клиентам устранять действительные уязвимости безопасности указанных далее классов.

• Сервисы AWS, предоставляемые AWS и общедоступные для клиентов (например, Amazon EC2, Amazon RDS).
• Сервисы Amazon, предоставляемые Amazon и общедоступные для клиентов (например, сервис API продавцов Amazon.com).
• Программное обеспечение с открытым исходным кодом в организации GitHub, управляемой Amazon или AWS.
• Клиентское программное обеспечение, выпущенное Amazon или AWS и доступное для загрузки с веб-сайта или места загрузки, принадлежащего нам и управляемого нами (например, Amazon Appstore SDK, Amazon Input SDK, приложение Amazon Kindle, приложение Amazon MShop, клиент Amazon WorkSpaces).
• Устройства, произведенные Amazon или AWS и доступные клиентам для покупки и использования (например, Amazon Fire TV, устройства Amazon Echo, Amazon Kindle, AWS Outpost).

Кроме того, должны быть соблюдены все приведенные ниже требования.

• Влияние на клиентов: проблема должна существовать в классе продуктов, принадлежащем Amazon или AWS и являющемся общедоступным для клиентов.
• Агентство по работе с клиентами: устранение проблем, связанных с поддерживаемыми продуктами, продуктами с истекшим сроком службы или продуктами, поддержка которых прекращена, требует действий со стороны клиентов, включая решения о принятии мер по устранению рисков (или же заказчикам необходимо оценить возможные последствия) или о том, когда действительная уязвимость системы безопасности станет общедоступной (ИЛИ она может стать достоянием общественности).
• Оценка CVSS: 4,0 (СРЕДНИЙ УРОВЕНЬ) или выше.

Проблемы с сервисами, программным или аппаратным обеспечением, которые не считаются уязвимостью, включают, помимо прочего, следующее:

• нестандартную конфигурацию или изменения, внесенные с использованием действительных мандатов, которые были правильно авторизованы;
• атаку на ресурсы клиентов Amazon или AWS или веб-сайты третьих лиц, размещенные на инфраструктуре AWS;
• проявление любой уязвимости из-за нарушений безопасности аккаунта клиента или сотрудника Amazon или AWS;
• любую DoS-атаку против продуктов либо клиентов Amazon или AWS;
• физическое нападение на сотрудников, офисы и центры обработки данных Amazon или AWS;
• социальный инжиниринг в отношении сотрудников, подрядчиков, поставщиков или провайдеров услуг Amazon или AWS;
• осознанная публикация, передача, загрузка или отправка вредоносных программ или ссылок на них;
• использование уязвимостей, которые позволяют выполнять несанкционированную пакетную отправку сообщений (спам).

AWS будет поддерживать с вами связь и информировать о процессе рассмотрения заявки. Вы получите неавтоматизированный ответ с подтверждением отчета в течение 24 часов, а также регулярные обновления состояния и ежемесячные контрольные сообщения на протяжении всего срока рассмотрения вопроса. Вы можете в любое время запросить сведения о текущем состоянии, и мы будем рады пообщаться с вами, чтобы решить любые проблемы или согласовать раскрытие информации.

Вышеуказанные действия, которые не относятся к уязвимостям, также не подпадают под действие программы раскрытия уязвимостей AWS. Выполнение любых из указанных выше действий приведет к немедленному исключению из участия в этой программе без возможности восстановления.

В тех случаях, когда это применимо, AWS будет согласовывать с вами свои действия по публичному оповещению о подтвержденных уязвимостях. По возможности, информация об одной и той же уязвимости должна публиковаться обеими сторонами одновременно.

Чтобы защитить наших клиентов, компания AWS просит не публиковать и не распространять никакой информации о потенциальных уязвимостях на публично доступных ресурсах до принятия ею мер и при необходимости оповещения клиентов. Просим также не публиковать и не распространять никаких данных о наших клиентах. Обратите внимание, что время, необходимое для устранения уязвимости, зависит от серьезности уязвимости и затронутых систем.

Публичные оповещения AWS в форме бюллетеней по безопасности публикуются на веб-сайте безопасности AWS. Частные лица, компании и отделы безопасности обычно публикуют свои предупреждения об опасности на собственных веб-сайтах или на форумах, и мы включаем ссылки на сторонние ресурсы такого рода в бюллетени по безопасности AWS, когда это уместно.  

Ми считаем, что любое исследование безопасности следует проводить в зоне безопасности. Для обеспечения сохранности зоны безопасности при проведении исследований, а также информировании об уязвимостях, мы приняли Золотой стандарт зоны безопасности. Мы будем рады любому сотрудничеству с исследователями безопасности, которые разделяют наше стремление к защите клиентов.

Золотой стандарт зоны безопасности способствует защите организаций и хакеров, занимающихся добросовестными исследованиями в области безопасности. Добросовестное исследование в области безопасности – это процесс предоставления доступа к компьютеру исключительно в целях не вредоносного тестирования, исследования и/или устранения недостатков и уязвимостей в системе безопасности. Важно, чтобы при такой деятельности не наносился ущерб отдельным лицам или обществу, а информация, полученная в результате такой деятельности, использовалась прежде всего для повышения безопасности устройств, машин и онлайн-сервисов, к которым подключен предоставленный компьютер. Кроме того указанная деятельность должна способствовать безопасности тех, кто пользуется такими устройствами, машинами и онлайн-сервисами.

Мы рассматриваем добросовестные исследования в области безопасности как санкционированную деятельность, которая ограждена от судебного преследования с нашей стороны. Мы снимаем любые соответствующие ограничения в наших Условиях предоставления услуг (TOS) и/или Политиках приемлемого использования (AUP), которые противоречат описанному здесь стандарту проведения добросовестных исследований в области безопасности.

Это означает, что в отношении деятельности, проведенной в период действия этой программы, мы не будем предпринимать указанные ниже меры.

• Не будем возбуждать против вас судебные иски или сообщать о вас в рамках программы добросовестных исследований в области безопасности, в том числе за обход технологических мер, используемых нами для защиты соответствующих приложений.
• Выполним все необходимые действия, чтобы доказать, что вы проводили добросовестные исследования в области безопасности в случае, если кто-то подаст на вас в суд.

Вам следует обратиться к нам за разъяснениями, прежде чем совершать действия, которые, по вашему мнению, могут противоречить программе добросовестных исследований в области безопасности или не учитываться в нашей политике.

Обратите внимание, что мы не можем санкционировать проведение исследований безопасности на инфраструктуре третьих лиц, а третьи лица не обязаны соблюдать данное положение о зоне безопасности.

Получив отчет, мы займемся оценкой уязвимости. Если для оценки или воспроизведения проблемы потребуется дополнительная информация, мы обратимся к вам. После выполнения предварительного исследования мы сообщим вам его результаты, предоставим план разрешения проблемы и обсуждения обнародования информации о ней.

Обратите внимание на указанные ниже моменты процесса.

1. Продукты третьих лиц. Если окажется, что уязвимость влияет на работу продукта стороннего поставщика, мы сообщим об этом владельцу данной технологии. Мы продолжим координировать ваши действия с действиями соответствующего третьего лица. При этом мы не будем разглашать ваших личных данных без вашего на то согласия.
2. Неподтвержденные уязвимости. Если подтвердить наличие проблемы невозможно или она не входит в сферу нашей ответственности, мы сообщим вам об этом.
3. Классификация уязвимостей. Для оценки потенциальных уязвимостей мы используем версию 3.1 общей системы оценки уязвимостей (CVSS). На основании полученной оценки мы определяем уровень серьезности и приоритет проблемы. За дополнительной информацией о применении CVSS обратитесь на сайт NVD.

Для добросовестного участия в нашей программе поиска уязвимостей вам следует соблюдать следующее:

• Не нарушайте правила, в том числе эту политику и любые другие применимые соглашения. Если обнаружится любое несоответствие между этой политикой и любыми другими применимыми условиями, условия этой политики будут иметь преимущественную силу;
• Немедленно сообщайте о любой обнаруженной уязвимости;
• Не нарушайте конфиденциальность других лиц, не мешайте работе наших систем, не уничтожайте данные и не мешайте взаимодействию с нашими пользователями;
• Используйте для обсуждения с нами информации об уязвимостях только указанные выше каналы;
• Предоставьте нам разумный промежуток времени с момента оформления первоначального отчета для решения проблемы, прежде чем раскрывать ее публично;
• Проводите тестирование только на тех системах, которые входят в область применения, и соблюдайте все требования к системам и видам деятельности за пределами области применения;
• Если уязвимость позволяет организовать непреднамеренный доступ к данным, ограничьте ваш доступ к данным минимально необходимым объемом, который потребуется для эффективной демонстрации концепции. Прекратите тестирование и немедленно отправьте нам отчет, если во время тестирования вы получите доступ к любым пользовательским данным, таким как информация, позволяющая установить личность (PII), личная медицинская информация (PHI), данные о кредитных картах и так далее;
• Взаимодействуйте только с принадлежащими вам тестовыми учетными записями или с теми, для которых владелец явным образом предоставил согласие;
  
• Не занимайтесь вымогательством.