Сообщение об уязвимостях
Сообщение о потенциальных уязвимостях
- Amazon Web Services (AWS): чтобы сообщить об уязвимости или проблеме безопасности облачных сервисов AWS либо проектов с открытым исходным кодом, посетите нашу программу раскрытия уязвимостей на HackerOne. Для отправки материалов, выходящих за рамки области и (или) платформы H1, либо для ответа на любые вопросы обращайтесь по адресу aws-security@amazon.com (ключ PGP).
- Amazon: уведомите отдел безопасности розничной торговли об уязвимости или проблемах безопасности, связанных с сервисами или продуктами Amazon Retail.
- Проверки уязвимостей: клиенты AWS могут без предварительного согласования проводить оценки безопасности и проверки уязвимостей используемой ими инфраструктуры в перечисленных сервисах. Дополнительные рекомендации см. в политике проверки уязвимостей.
- Злоупотребление ресурсами AWS: если вы подозреваете, что ресурсы AWS (например, инстанс EC2 или корзина S3) используются в подозрительных целях, заполните форму AWS о злоупотреблении ресурсами или обратитесь по адресу trustandsafety@support.aws.com.
Чтобы мы могли эффективно отреагировать на ваше сообщение, просим предоставить в запросе подтверждающие материалы (код, выходные данные программного средства и т. д.), которые помогут нам определить характер и серьезность уязвимости.
Область применения Amazon CNA
Amazon CNA выпустит CVE, которые помогут клиентам устранять действительные уязвимости безопасности указанных далее классов.
- Сервисы AWS, предоставляемые AWS и общедоступные для клиентов (например, Amazon EC2, Amazon RDS).
- Сервисы Amazon, предоставляемые Amazon и общедоступные для клиентов (например, сервис API продавцов Amazon.com).
- Программное обеспечение с открытым исходным кодом в организации GitHub, управляемой Amazon или AWS.
- Клиентское программное обеспечение, выпущенное Amazon или AWS и доступное для загрузки с веб-сайта или места загрузки, принадлежащего нам и управляемого нами (например, Amazon Appstore SDK, Amazon Input SDK, приложение Amazon Kindle, приложение Amazon MShop, клиент Amazon WorkSpaces).
- Устройства, произведенные Amazon или AWS и доступные клиентам для покупки и использования (например, Amazon Fire TV, устройства Amazon Echo, Amazon Kindle, AWS Outpost).
Кроме того, должны быть соблюдены все приведенные ниже требования.
- Влияние на клиентов: проблема должна существовать в классе продуктов, принадлежащем Amazon или AWS и являющемся общедоступным для клиентов.
- Агентство по работе с клиентами: устранение проблем, связанных с поддерживаемыми продуктами, продуктами с истекшим сроком службы или продуктами, поддержка которых прекращена, требует действий со стороны клиентов, включая решения о принятии мер по устранению рисков (или же заказчикам необходимо оценить возможные последствия) или о том, когда действительная уязвимость системы безопасности станет общедоступной (ИЛИ она может стать достоянием общественности).
- Оценка CVSS: 4,0 (СРЕДНИЙ УРОВЕНЬ) или выше.
Проблемы с сервисами, программным или аппаратным обеспечением, которые не считаются уязвимостью, включают, помимо прочего, следующее:
- нестандартную конфигурацию или изменения, внесенные с использованием действительных мандатов, которые были правильно авторизованы;
- атаку на ресурсы клиентов Amazon или AWS или веб-сайты третьих лиц, размещенные на инфраструктуре AWS;
- проявление любой уязвимости из-за нарушений безопасности аккаунта клиента или сотрудника Amazon или AWS;
- любую DoS-атаку против продуктов либо клиентов Amazon или AWS;
- физическое нападение на сотрудников, офисы и центры обработки данных Amazon или AWS;
- социальный инжиниринг в отношении сотрудников, подрядчиков, поставщиков или провайдеров услуг Amazon или AWS;
- осознанная публикация, передача, загрузка или отправка вредоносных программ или ссылок на них;
- использование уязвимостей, которые позволяют выполнять несанкционированную пакетную отправку сообщений (спам).
Отчеты AWS об уязвимостях
AWS будет поддерживать с вами связь и информировать о процессе рассмотрения заявки. Вы получите неавтоматизированный ответ с подтверждением отчета в течение 24 часов, а также регулярные обновления состояния и ежемесячные контрольные сообщения на протяжении всего срока рассмотрения вопроса. Вы можете в любое время запросить сведения о текущем состоянии, и мы будем рады пообщаться с вами, чтобы решить любые проблемы или согласовать раскрытие информации.
Вышеуказанные действия, которые не относятся к уязвимостям, также не подпадают под действие программы раскрытия уязвимостей AWS. Выполнение любых из указанных выше действий приведет к немедленному исключению из участия в этой программе без возможности восстановления.
Публичное оповещение
В тех случаях, когда это применимо, AWS будет согласовывать с вами свои действия по публичному оповещению о подтвержденных уязвимостях. По возможности, информация об одной и той же уязвимости должна публиковаться обеими сторонами одновременно.
Чтобы защитить наших клиентов, компания AWS просит не публиковать и не распространять никакой информации о потенциальных уязвимостях на публично доступных ресурсах до принятия ею мер и при необходимости оповещения клиентов. Просим также не публиковать и не распространять никаких данных о наших клиентах. Обратите внимание, что время, необходимое для устранения уязвимости, зависит от серьезности уязвимости и затронутых систем.
Публичные оповещения AWS в форме бюллетеней по безопасности публикуются на веб-сайте безопасности AWS. Частные лица, компании и отделы безопасности обычно публикуют свои предупреждения об опасности на собственных веб-сайтах или на форумах, и мы включаем ссылки на сторонние ресурсы такого рода в бюллетени по безопасности AWS, когда это уместно.
Зона безопасности
Ми считаем, что любое исследование безопасности следует проводить в зоне безопасности. Для обеспечения сохранности зоны безопасности при проведении исследований, а также информировании об уязвимостях, мы приняли Золотой стандарт зоны безопасности. Мы будем рады любому сотрудничеству с исследователями безопасности, которые разделяют наше стремление к защите клиентов.
Золотой стандарт зоны безопасности способствует защите организаций и хакеров, занимающихся добросовестными исследованиями в области безопасности. Добросовестное исследование в области безопасности – это процесс предоставления доступа к компьютеру исключительно в целях не вредоносного тестирования, исследования и/или устранения недостатков и уязвимостей в системе безопасности. Важно, чтобы при такой деятельности не наносился ущерб отдельным лицам или обществу, а информация, полученная в результате такой деятельности, использовалась прежде всего для повышения безопасности устройств, машин и онлайн-сервисов, к которым подключен предоставленный компьютер. Кроме того указанная деятельность должна способствовать безопасности тех, кто пользуется такими устройствами, машинами и онлайн-сервисами.
Мы рассматриваем добросовестные исследования в области безопасности как санкционированную деятельность, которая ограждена от судебного преследования с нашей стороны. Мы снимаем любые соответствующие ограничения в наших Условиях предоставления услуг (TOS) и/или Политиках приемлемого использования (AUP), которые противоречат описанному здесь стандарту проведения добросовестных исследований в области безопасности.
Это означает, что в отношении деятельности, проведенной в период действия этой программы, мы не будем предпринимать указанные ниже меры.
- Не будем возбуждать против вас судебные иски или сообщать о вас в рамках программы добросовестных исследований в области безопасности, в том числе за обход технологических мер, используемых нами для защиты соответствующих приложений.
- Выполним все необходимые действия, чтобы доказать, что вы проводили добросовестные исследования в области безопасности в случае, если кто-то подаст на вас в суд.
Вам следует обратиться к нам за разъяснениями, прежде чем совершать действия, которые, по вашему мнению, могут противоречить программе добросовестных исследований в области безопасности или не учитываться в нашей политике.
Обратите внимание, что мы не можем санкционировать проведение исследований безопасности на инфраструктуре третьих лиц, а третьи лица не обязаны соблюдать данное положение о зоне безопасности.
Политика разглашения
Получив отчет, мы займемся оценкой уязвимости. Если для оценки или воспроизведения проблемы потребуется дополнительная информация, мы обратимся к вам. После выполнения предварительного исследования мы сообщим вам его результаты, предоставим план разрешения проблемы и обсуждения обнародования информации о ней.
Обратите внимание на указанные ниже моменты процесса.
- Продукты третьих лиц. Если окажется, что уязвимость влияет на работу продукта стороннего поставщика, мы сообщим об этом владельцу данной технологии. Мы продолжим координировать ваши действия с действиями соответствующего третьего лица. При этом мы не будем разглашать ваших личных данных без вашего на то согласия.
- Неподтвержденные уязвимости. Если подтвердить наличие проблемы невозможно или она не входит в сферу нашей ответственности, мы сообщим вам об этом.
- Классификация уязвимостей. Для оценки потенциальных уязвимостей мы используем версию 3.1 общей системы оценки уязвимостей (CVSS). На основании полученной оценки мы определяем уровень серьезности и приоритет проблемы. За дополнительной информацией о применении CVSS обратитесь на сайт NVD.
Для добросовестного участия в нашей программе поиска уязвимостей вам следует соблюдать следующее:
- Не нарушайте правила, в том числе эту политику и любые другие применимые соглашения. Если обнаружится любое несоответствие между этой политикой и любыми другими применимыми условиями, условия этой политики будут иметь преимущественную силу;
- Немедленно сообщайте о любой обнаруженной уязвимости;
- Не нарушайте конфиденциальность других лиц, не мешайте работе наших систем, не уничтожайте данные и не мешайте взаимодействию с нашими пользователями;
- Используйте для обсуждения с нами информации об уязвимостях только указанные выше каналы;
- Предоставьте нам разумный промежуток времени с момента оформления первоначального отчета для решения проблемы, прежде чем раскрывать ее публично;
- Проводите тестирование только на тех системах, которые входят в область применения, и соблюдайте все требования к системам и видам деятельности за пределами области применения;
- Если уязвимость позволяет организовать непреднамеренный доступ к данным, ограничьте ваш доступ к данным минимально необходимым объемом, который потребуется для эффективной демонстрации концепции. Прекратите тестирование и немедленно отправьте нам отчет, если во время тестирования вы получите доступ к любым пользовательским данным, таким как информация, позволяющая установить личность (PII), личная медицинская информация (PHI), данные о кредитных картах и так далее;
- Взаимодействуйте только с принадлежащими вам тестовыми учетными записями или с теми, для которых владелец явным образом предоставил согласие;
- Не занимайтесь вымогательством.