Báo cáo lỗ hổng

• Amazon Web Services (AWS): Nếu bạn muốn báo cáo lỗ hổng bảo mật hoặc có mối quan ngại về bảo mật liên quan đến dịch vụ đám mây AWS hoặc các dự án nguồn mở, vui lòng gửi thông tin đến aws-security@amazon.com. Nếu muốn bảo vệ nội dung mình gửi đi, bạn có thể sử dụng khóa PGP của chúng tôi.
• Amazon.com (Bán lẻ): Nếu bạn có mối quan ngại về bảo mật với Amazon.com (Bán lẻ), Seller Central, Amazon Payments hoặc về các vấn đề liên quan khác như đơn hàng đáng ngờ, phí thẻ tín dụng không hợp lệ, email đáng ngờ hoặc về việc báo cáo lỗ hổng bảo mật, vui lòng truy cập trang web Bảo mật cho ngành Bán lẻ của chúng tôi.
• Chính sách hỗ trợ khách hàng của AWS đối với Kiểm thử thâm nhập: AWS hoan nghênh khách hàng thực hiện đánh giá bảo mật hoặc kiểm thử thâm nhập đối với cơ sở hạ tầng AWS của mình mà không cần phê duyệt trước đối với các dịch vụ đã liệt kê. Bạn cần gửi Yêu cầu cấp phép đối với các Sự kiện mô phỏng khác qua Biểu mẫu Sự kiện mô phỏng. Đối với khách hàng hoạt động tại Khu vực Trung Quốc (Ninh Hạ và Bắc Kinh) của AWS, vui lòng sử dụng Biểu mẫu Sự kiện mô phỏng này.
• Lạm dụng AWS: Nếu nghi ngờ rằng tài nguyên AWS (như phiên bản EC2 hoặc vùng lưu trữ S3) đang bị sử dụng cho hoạt động đáng ngờ, bạn có thể báo cáo vấn đề này cho Nhóm phụ trách vấn đề lạm dụng AWS bằng Biểu mẫu Báo cáo lạm dụng AWS của Amazon hoặc liên hệ abuse@amazonaws.com.
• Thông tin tuân thủ AWS: Bạn có thể truy cập vào báo cáo tuân thủ AWS thông qua AWS Artifact. Nếu bạn có thêm câu hỏi liên quan đến Tuân thủ AWS, vui lòng liên hệ bằng cách sử dụng biểu mẫu tiếp nhận.

Để chúng tôi có thể phản hồi báo cáo của bạn hiệu quả hơn, vui lòng cung cấp bất kỳ tài liệu hỗ trợ nào (mã chứng minh khái niệm, dữ liệu xuất từ công cụ, v.v). Điều này sẽ giúp chúng tôi có thể hiểu được bản chất và mức độ nghiêm trọng của lỗ hổng bảo mật đó.

AWS sẽ bảo mật thông tin bạn chia sẻ tại quy trình này trong nội bộ AWS. AWS sẽ chỉ chia sẻ thông tin này với bên thứ ba nếu lỗ hổng bảo mật mà bạn báo cáo được phát hiện là có ảnh hưởng đến sản phẩm của bên thứ ba. Trong trường hợp đó, chúng tôi sẽ chia sẻ thông tin này với chủ sở hữu hoặc nhà sản xuất sản phẩm bên thứ ba. Trong các trường hợp khác, AWS sẽ chỉ chia sẻ thông tin này khi bạn cho phép.

AWS sẽ xem xét báo cáo bạn gửi và chỉ định một số theo dõi cho báo cáo đó. Sau đó, chúng tôi sẽ phản hồi bạn để xác nhận rằng chúng tôi đã nhận được báo cáo cũng như để nêu rõ các bước tiếp theo trong quy trình.

Các hoạt động sau nằm ngoài phạm vi của Chương trình báo cáo lỗ hổng bảo mật AWS. Nếu thực hiện bất kỳ hoạt động nào dưới đây, bạn sẽ bị loại khỏi chương trình vĩnh viễn.

• Nhắm đến tài sản của khách hàng AWS hoặc các trang web không phải của AWS được lưu trữ trên cơ sở hạ tầng của chúng tôi
• Nắm bắt được bất kỳ lỗ hổng bảo mật nào thông qua việc xâm phạm tài khoản khách hàng hoặc nhân viên AWS
• Mọi cuộc tấn công Từ chối dịch vụ (DoS) đối với các sản phẩm hoặc khách hàng AWS
• Các cuộc tấn công vật lý chống lại nhân viên, văn phòng và trung tâm dữ liệu của AWS
• Có hành vi tấn công phi kỹ thuật vào nhân viên, nhà thầu, nhà cung cấp hoặc nhà cung cấp dịch vụ của AWS
• Cố ý đăng, truyền, tải lên, liên kết đến hoặc gửi phần mềm độc hại
• Lợi dụng các lỗ hổng bảo mật để gửi tin nhắn hàng loạt không mong muốn (spam)

AWS cam kết sẽ phản hồi và sẽ giúp bạn cập nhật liên tục về tiến trình. Bạn sẽ nhận được phản hồi không tự động trong vòng 24 giờ để xác nhận rằng chúng tôi đã nhận được báo cáo ban đầu, các thông tin cập nhật kịp thời cùng các đợt kiểm tra hàng tháng trong suốt quá trình tương tác. Bạn có thể yêu cầu thông tin cập nhật bất cứ lúc nào và chúng tôi hoan nghênh các cuộc đối thoại để làm rõ mọi mối quan ngại hoặc làm rõ về phối hợp trong việc tiết lộ thông tin.

Nếu có thể, AWS sẽ phối hợp với bạn để thông báo công khai về mọi lỗ hổng bảo mật đã xác thực. Khi có thể, chúng tôi cũng muốn đồng thời đăng tải thông báo công khai tương ứng của mình.

Để bảo vệ khách hàng, AWS yêu cầu bạn không đăng hoặc chia sẻ bất kỳ thông tin nào về lỗ hổng bảo mật tiềm ẩn trong bất kỳ môi trường công cộng nào cho đến khi chúng tôi nghiên cứu, phản hồi và xử lý lỗ hổng bảo mật mà bạn báo cáo cũng như thông báo cho khách hàng nếu cần. Ngoài ra, chúng tôi trân trọng yêu cầu bạn không đăng hoặc chia sẻ bất kỳ dữ liệu nào thuộc về khách hàng của chúng tôi. Việc xử lý một lỗ hổng bảo mật được báo cáo hợp lệ sẽ cần thời gian và lịch trình còn phụ thuộc vào mức độ nghiêm trọng của lỗ hổng bảo mật và của hệ thống bị ảnh hưởng.

AWS thông báo công khai dưới dạng Bản tin bảo mật đăng trên trang web Bảo mật AWS. Các cá nhân, công ty và đội ngũ bảo mật thường đăng tải lời khuyến nghị của họ trên trang web riêng cũng như trên các diễn đàn khác. Khi có vấn đề liên quan, chúng tôi sẽ đưa đường liên kết dẫn đến các tài nguyên của bên thứ ba đó vào Bản tin bảo mật của AWS.  

AWS cho rằng nghiên cứu bảo mật được thực hiện với thiện chí nên được bảo vệ an toàn. Với mục đích bảo vệ an toàn cho việc nghiên cứu bảo mật và báo cáo các lỗ hổng bảo mật, Bảo mật AWS đã áp dụng các điều khoản cốt lõi củadisclose.io, cụ thể là “Đảm bảo an toàn” và “Kỳ vọng của chúng tôi”. Chúng tôi mong muốn được hợp tác với các nhà nghiên cứu bảo mật có chung nhiệt huyết trong việc bảo vệ khách hàng AWS với chúng tôi.

Theo đó, chúng tôi coi việc nghiên cứu bảo mật được thực hiện theo chính sách này là:

• Được cấp quyền liên quan đến bất kỳ luật chống xâm phạm hiện hành nào và chúng tôi sẽ không thực hiện hoặc hỗ trợ cho hành động pháp lý chống lại bạn trong trường hợp vô tình vi phạm hoặc vi phạm nguyên tắc thiện chí đối với chính sách này;
• Được cấp quyền liên quan đến bất kỳ luật chống lẩn tránh biện pháp bảo vệ bản quyền nào có liên quan và chúng tôi sẽ không đưa ra khiếu nại chống lại bạn đối với hành vi lẩn tránh các biện pháp kiểm soát công nghệ;
• Được miễn trừ khỏi các hạn chế trong Điều khoản dịch vụ và/hoặc Chính sách về việc sử dụng được chấp nhận của chúng tôi mà có thể cản trở việc tiến hành nghiên cứu bảo mật và chúng tôi sẽ miễn trừ các hạn chế đó ở mức có hạn; và
• Hợp pháp, hữu ích cho an ninh tổng thể của Internet và được thực hiện với thiện chí.

Bạn cần tuân thủ tất cả các luật hiện hành như thông thường. Nếu một bên thứ ba thực hiện hành động pháp lý chống lại bạn và bạn đã tuân thủ chính sách này, chúng tôi sẽ thực hiện các bước để thông báo rằng hành động bạn thực hiện tuân thủ chính sách này.

Nếu bất cứ lúc nào bạn có lo ngại hoặc không chắc liệu nghiên cứu bảo mật của mình có nhất quán với chính sách này hay không, vui lòng gửi báo cáo qua một trong các kênh nêu trên của chúng tôi trong mục “Báo cáo lỗ hổng bảo mật đáng ngờ” trước khi tiếp tục.

Lưu ý rằng việc đảm bảo an toàn chỉ áp dụng cho các khiếu nại pháp lý dưới sự kiểm soát của tổ chức tham gia chính sách này và chính sách này không ràng buộc các bên thứ ba độc lập.

Khi tham gia chương trình tiết lộ lỗ hổng bảo mật của chúng tôi theo nguyên tắc thiện chí, chúng tôi yêu cầu bạn:

• Tuân thủ nguyên tắc, bao gồm việc tuân thủ chính sách này cũng như mọi thoả thuận liên quan khác. Nếu có bất kỳ điểm không nhất quán nào giữa chính sách này và bất kỳ điều khoản hiện hành nào khác, các điều khoản của chính sách này sẽ được ưu tiên áp dụng;
• Nhanh chóng báo cáo bất kỳ lỗ hổng bảo mật nào bạn phát hiện ra;
• Tránh vi phạm quyền riêng tư của người khác, làm gián đoạn hệ thống của chúng tôi, phá hủy dữ liệu và/hoặc gây tổn hại đến trải nghiệm người dùng;
• Chỉ sử dụng các kênh nêu trên để thảo luận thông tin về lỗ hổng bảo mật với chúng tôi;
• Hãy cung cấp cho chúng tôi một khoảng thời gian hợp lý kể từ khi đưa ra báo cáo ban đầu để giải quyết vấn đề trước khi bạn tiết lộ công khai vấn đề đó;
• Chỉ thực hiện kiểm thử đối với các hệ thống nằm trong phạm vi và tôn trọng các hệ thống và hoạt động nằm ngoài phạm vi;
• Trong trường hợp lỗ hổng bảo mật cung cấp quyền truy cập không mong muốn vào dữ liệu: Hãy giới hạn lượng dữ liệu bạn truy cập ở mức tối thiểu để trình bày chứng minh khái niệm; đồng thời, hãy ngừng kiểm thử và gửi báo cáo ngay lập tức nếu bạn gặp phải bất kỳ dữ liệu người dùng nào trong quá trình kiểm thử, ví dụ như Thông tin nhận dạng cá nhân (PII), Thông tin chăm sóc sức khỏe cá nhân (PHI), dữ liệu thẻ tín dụng hoặc thông tin độc quyền;
• Chỉ tương tác với tài khoản kiểm thử của riêng bạn hoặc khi có quyền rõ ràng từ chủ tài khoản; và
• Không tham gia hành vi tống tiền.