Сообщение об уязвимостях

• Amazon Web Services (AWS). Сообщите об уязвимости или проблеме безопасности облачных сервисов AWS или проектов с открытым исходным кодом, обратившись по электронному адресу aws-security@amazon.com. Для защиты содержания сообщений можно использовать наш ключ PGP.
• Магазин розничной торговли Amazon.com. Если у вас возникли опасения, связанные с безопасностью таких ресурсов, как интернет-магазин розничной торговли Amazon.com, Seller Central, Amazon Payments, или аналогичные проблемы, например подозрительные заказы, необоснованное списание средств с кредитной карты, подозрительные сообщения электронной почты, а также если вы хотите сообщить об уязвимостях, перейдите нашу на страницу Безопасность розничной торговли.
• Политика поддержки клиентов AWS при проведении проверок уязвимостей: клиенты AWS могут без предварительного согласования проводить оценки безопасности и проверки уязвимостей используемой ими инфраструктуры в перечисленных сервисах. Заявку на авторизацию для использования других вариантов тестирования необходимо отправлять с использованием формы видов тестирования. (Для клиентов, работающих в регионе AWS Китай (Нинся и Пекин): пользуйтесь этой формой видов тестирования.)
• Несанкционированное использование AWS. Если у вас есть подозрение, что ресурсы AWS (например, инстанс EC2 или корзина S3) используются для запрещенных действий, сообщить об этом в конфликтную комиссию AWS можно с помощью формы Сообщить о несанкционированном использовании AWS или по адресу электронной почты abuse@amazonaws.com.
• Информация о соответствии AWS нормативным требованиям: доступ к отчетам AWS о соответствии нормативным требованиям можно получить через AWS Artifact. Если у вас есть другие вопросы, связанные с соответствием AWS нормативным требованиям, обратитесь в соответствующее подразделение с использованием этой формы.

Чтобы мы могли эффективно отреагировать на ваше сообщение, просим предоставить в запросе подтверждающие материалы (код, выходные данные программного средства и т. п.), которые помогут нам определить характер и серьезность уязвимости.

Информация, сообщаемая вами AWS в рамках данного процесса, считается конфиденциальной. AWS будет передавать эту информацию третьим лицам только в том случае, если уязвимость, о которой вы сообщаете, влияет на продукт стороннего производителя. В этом случае мы передадим эту информацию конкретному автору или производителю. В других случаях AWS будет передавать эту информацию только с вашего разрешения.

AWS ознакомится с вашим отчетом и присвоит ему номер отслеживания. Мы ответим на ваше сообщение, чтобы подтвердить получение отчета и описать порядок действий по решению проблемы.

Указанные действия выходят за рамки программы отчетов AWS об уязвимостях. Выполнение любых из указанных ниже действий приведет к немедленному исключению из участия в этой программе без возможности восстановления.

• Атака на ресурсы клиентов AWS или сайты третьих лиц, размещенные на нашей инфраструктуре
• Проявление любой уязвимости из-за нарушений безопасности аккаунта клиента или сотрудника AWS
• Любая DoS-атака против продуктов или клиентов AWS
• Физическое нападение на сотрудников, офисы и центры обработки данных AWS
• Социальный инжиниринг в отношении сотрудников, подрядчиков, поставщиков или провайдеров сервисов AWS
• Осознанная публикация, передача, выгрузка или отправка вредоносных программ или ссылок на них
• Использование уязвимостей, которые позволяют выполнять несанкционированную пакетную отправку сообщений (спам)

AWS будет поддерживать с вами связь и информировать о процессе рассмотрения заявки. Вы получите неавтоматизированный ответ с подтверждением отчета в течение 24 часов, а также регулярные обновления состояния и ежемесячные контрольные сообщения на протяжении всего срока рассмотрения вопроса. Вы можете в любое время запросить сведения о текущем состоянии, и мы будем рады пообщаться с вами, чтобы решить любые проблемы или согласовать раскрытие информации.

В тех случаях, когда это применимо, AWS будет согласовывать с вами свои действия по публичному оповещению о подтвержденных уязвимостях. По возможности, информация об одной и той же уязвимости должна публиковаться обеими сторонами одновременно.

Чтобы защитить наших клиентов, компания AWS просит не публиковать и не распространять никакой информации о потенциальных уязвимостях на публично доступных ресурсах до проведения ею исследования уязвимости, принятия мер и при необходимости оповещения клиентов. Просим также не публиковать и не распространять никаких данных, касающихся наших клиентов. Для устранения подтвержденной уязвимости потребуется время, которое будет зависеть от серьезности уязвимости и затронутых систем.

Публичные оповещения AWS в форме бюллетеней по безопасности публикуются на веб-сайте безопасности AWS. Частные лица, компании и отделы безопасности обычно публикуют свои предупреждения об опасности на собственных веб-сайтах или на форумах, и мы включаем ссылки на сторонние ресурсы такого рода в бюллетени по безопасности AWS, когда это уместно.  

AWS считает, что любое исследование безопасности следует проводить в зоне безопасности. Для исследований безопасности и обработки сообщений об уязвимостях сервис «Безопасность AWS» использует терминологию disclose.io, в частности концепции «Зона безопасности» и «Наши ожидания». Мы будем рады любому сотрудничеству с исследователями безопасности, которые разделяют наше стремление к защите клиентов AWS.

Соответственно, мы считаем, что выполняемое в соответствии с этой политикой исследование безопасности:

• считается допустимым по любым применимым законам о борьбе с хакерскими атаками, то есть мы не будем возбуждать или поддерживать против вас судебные иски за случайные нарушения этой политики в пределах добросовестного поведения;
• считается допустимым по любым применимым законам о борьбе с обходом ограничений, то есть мы не будем возбуждать против вас судебные иски за обход средств технологического контроля;
• освобождается от ограничений, содержащихся в наших Условиях предоставления услуг и/или Политике допустимого использования, насколько они могут помешать проведению исследований в области безопасности, то есть мы снимаем ограниченно отменяем эти ограничения;
• считается законным, полезным для общей безопасности Интернета и добросовестным.

Как и всегда, мы ожидаем от вас соблюдения всех применимых законов. Если третья сторона возбудит против вас судебный иск, то при условии соблюдения этой политики мы предпримем меры для того, чтобы проинформировать о том, что ваши действия совершались в соответствии с этой политикой.

Если у вас в любой момент возникнут сомнения, соответствует ли ваше исследование безопасности этой политике, отправьте отчет о нем по любому из каналов для связи с нами, упомянутых выше в разделе «Сообщение о предполагаемых уязвимостях», прежде чем продолжать исследование.

Обратите внимание, что концепция «Зона безопасности» относится только к судебным искам от организаций, которые принимают участи в применении этой политики, и что эта политика не налагает обязательств на независимые третьи стороны.

Для добросовестного участия в нашей программе раскрытия уязвимостей вам следует соблюдать следующее:

• Не нарушайте правила, в том числе эту политику и любые другие применимые соглашения. Если обнаружится любое несоответствие между этой политикой и любыми другими применимыми условиями, условия этой политики будут иметь преимущественную силу;
• Немедленно сообщайте о любой обнаруженной уязвимости;
• Не нарушайте конфиденциальность других лиц, не мешайте работе наших систем, не уничтожайте данные и не мешайте взаимодействию с нашими пользователями;
• Используйте для обсуждения с нами информации об уязвимостях только указанные выше каналы;
• Предоставьте нам разумный промежуток времени с момента оформления первоначального отчета для решения проблемы, прежде чем раскрывать ее публично;
• Проводите тестирование только на тех системах, которые входят в область применения, и соблюдайте все требования к системам и видам деятельности за пределами области применения;
• Если уязвимость позволяет организовать непреднамеренный доступ к данным, ограничьте ваш доступ к данным минимально необходимым объемом, который потребуется для эффективной демонстрации концепции. Прекратите тестирование и немедленно отправьте нам отчет, если во время тестирования вы получите доступ к любым пользовательским данным, таким как информация, позволяющая установить личность (PII), личная медицинская информация (PHI), данные о кредитных картах и так далее;
• Взаимодействуйте только с принадлежащими вам тестовыми учетными записями или с теми, для которых владелец явным образом предоставил согласие;
• Не занимайтесь вымогательством.