Báo cáo lỗ hổng bảo mật
Báo cáo lỗ hổng bảo mật đáng ngờ
- Amazon Web Services (AWS): Để báo cáo lỗ hổng bảo mật hoặc mối lo ngại về bảo mật đối với các dịch vụ đám mây AWS hoặc các dự án nguồn mở, hãy truy cập Chương trình tiết lộ lỗ hổng bảo mật trên HackerOne của chúng tôi. Đối với các yêu cầu ngoài phạm vi/nền tảng H1 hoặc để giải quyết bất kỳ thắc mắc nào, hãy liên hệ aws-security@amazon.com (khóa PGP).
- Amazon: Thông báo cho Bảo mật bán lẻ về lỗ hổng bảo mật hoặc mối quan ngại bảo mật đối với các dịch vụ hoặc sản phẩm của Amazon Retail.
- Kiểm thử thâm nhập: AWS hoan nghênh khách hàng thực hiện đánh giá bảo mật hoặc kiểm thử thâm nhập đối với cơ sở hạ tầng AWS của mình mà không cần phê duyệt trước đối với các dịch vụ đã liệt kê. Để biết thêm hướng dẫn, hãy xem lại Chính sách Kiểm thử thâm nhập.
- Lạm dụng AWS: Nếu bạn nghi ngờ rằng tài nguyên AWS (chẳng hạn như phiên bản EC2 hoặc vùng lưu trữ S3) đang bị sử dụng cho hoạt động đáng ngờ, vui lòng điền vào biểu mẫu lạm dụng AWS hoặc liên hệ trustandsafety@support.aws.com.
Để chúng tôi có thể phản hồi báo cáo của bạn hiệu quả hơn, vui lòng cung cấp bất kỳ tài liệu hỗ trợ nào (mã chứng minh khái niệm, dữ liệu xuất từ công cụ, v.v). Điều này sẽ giúp chúng tôi có thể hiểu được bản chất và mức độ nghiêm trọng của lỗ hổng bảo mật đó.
Phạm vi Amazon CNA
Amazon CNA sẽ phát hành CVE hỗ trợ khách hàng giải quyết các lỗ hổng bảo mật hợp lệ trong các lớp sau:
- Dịch vụ AWS do AWS cung cấp và có sẵn công khai cho khách hàng. (ví dụ: Amazon EC2, Amazon RDS).
- Dịch vụ Amazon do Amazon cung cấp và có sẵn công khai cho khách hàng. (ví dụ: Dịch vụ API người bán Amazon.com).
- Phần mềm nguồn mở trong một tổ chức GitHub được quản lý bởi Amazon hoặc AWS.
- Phần mềm máy khách do Amazon hoặc AWS phát hành và có sẵn để tải xuống từ trang web hoặc vị trí tải xuống do chúng tôi sở hữu và điều hành (ví dụ: Amazon Appstore SDK, Amazon Input SDK, Ứng dụng Amazon Kindle, Amazon MShop App, máy khách Amazon WorkSpaces).
- Các thiết bị do Amazon hoặc AWS sản xuất và có sẵn cho khách hàng để mua và sử dụng (ví dụ: Amazon Fire TV, thiết bị Amazon Echo, Amazon Kindle, AWS Outpost).
Ngoài ra, tất cả các yêu cầu dưới đây phải được đáp ứng:
- Tác động đến khách hàng: Vấn đề phải tồn tại trong lớp thuộc sở hữu của Amazon hoặc AWS, được cung cấp công khai cho khách hàng; VÀ
- Đại lý khách hàng: Khắc phục các vấn đề về sản phẩm được hỗ trợ hoặc kết thúc vòng đời/kết thúc dịch vụ (EOL/EOS) yêu cầu hành động của khách hàng, bao gồm đưa ra quyết định dựa trên rủi ro về cách xử lý biện pháp khắc phục (HOẶC khách hàng cần đánh giá tác động có thể xảy ra) HOẶC khi lỗ hổng bảo mật hợp lệ sẽ được công khai (HOẶC có khả năng được công khai); VÀ
- Điểm CVSS: 4.0 (TRUNG BÌNH) trở lên.
Các vấn đề về dịch vụ, phần mềm hoặc phần cứng không được coi là lỗ hổng bảo mật bao gồm nhưng không giới hạn ở:
- Cấu hình không mặc định hoặc các thay đổi được thực hiện bằng thông tin chứng thực hợp lệ đã được ủy quyền chính xác
- Nhắm đến tài sản của khách hàng Amazon hoặc AWS (hoặc các trang web không phải của AWS được lưu trữ trên cơ sở hạ tầng của AWS)
- Nắm bắt được bất kỳ lỗ hổng bảo mật nào thông qua việc xâm phạm tài khoản khách hàng hoặc nhân viên Amazon hoặc AWS
- Mọi cuộc tấn công Từ chối dịch vụ (DoS) đối với các sản phẩm của Amazon hoặc AWS (hoặc khách hàng của Amazon hoặc AWS)
- Các cuộc tấn công vật lý đối với nhân viên, văn phòng và trung tâm dữ liệu của Amazon hoặc AWS
- Có hành vi tấn công phi kỹ thuật vào nhân viên, nhà thầu, nhà cung cấp hoặc nhà cung cấp dịch vụ của Amazon hoặc AWS
- Cố ý đăng, truyền, tải lên, liên kết đến hoặc gửi phần mềm độc hại
- Lợi dụng các lỗ hổng bảo mật để gửi tin nhắn hàng loạt không mong muốn (spam)
Báo cáo lỗ hổng bảo mật AWS
AWS cam kết sẽ phản hồi và giúp bạn cập nhật liên tục về tiến trình. Bạn sẽ nhận được phản hồi không tự động trong vòng 24 giờ để xác nhận rằng chúng tôi đã nhận được báo cáo ban đầu, các thông tin cập nhật kịp thời cùng các đợt kiểm tra hàng tháng trong suốt quá trình tương tác. Bạn có thể yêu cầu thông tin cập nhật bất cứ lúc nào và chúng tôi hoan nghênh các cuộc đối thoại để làm rõ mọi mối quan ngại hoặc làm rõ về phối hợp trong việc tiết lộ thông tin.
Các hoạt động không được coi là lỗ hổng bảo mật nêu trên cũng nằm ngoài phạm vi của Chương trình tiết lộ lỗ hổng bảo mật AWS. Nếu thực hiện bất kỳ hoạt động nào nêu trên, bạn sẽ bị loại khỏi chương trình vĩnh viễn.
Thông báo công khai
Nếu có thể, AWS sẽ phối hợp với bạn để thông báo công khai về mọi lỗ hổng bảo mật đã xác thực. Khi có thể, chúng tôi cũng muốn đồng thời đăng tải thông báo công khai tương ứng của mình.
Để bảo vệ khách hàng, AWS yêu cầu bạn không đăng hoặc chia sẻ bất kỳ thông tin nào về lỗ hổng bảo mật tiềm ẩn trong bất kỳ môi trường công cộng nào cho đến khi chúng tôi xử lý lỗ hổng bảo mật mà bạn báo cáo cũng như thông báo cho khách hàng nếu cần. Ngoài ra, chúng tôi trân trọng yêu cầu bạn không đăng hoặc chia sẻ bất kỳ dữ liệu nào thuộc về khách hàng của chúng tôi. Xin lưu ý rằng, thời gian cần thiết để giảm thiểu lỗ hổng bảo mật phụ thuộc vào mức độ nghiêm trọng của lỗ hổng bảo mật và các hệ thống bị ảnh hưởng.
AWS thông báo công khai dưới dạng Bản tin bảo mật đăng trên trang web Bảo mật AWS. Các cá nhân, công ty và đội ngũ bảo mật thường đăng tải lời khuyến nghị của họ trên trang web riêng cũng như trên các diễn đàn khác. Khi có vấn đề liên quan, chúng tôi sẽ đưa đường liên kết dẫn đến các tài nguyên của bên thứ ba đó vào Bản tin bảo mật của AWS.
Đảm bảo an toàn
Chúng tôi tin rằng nghiên cứu bảo mật được thực hiện với thiện chí nên được bảo vệ an toàn. Với mục đích đảm bảo an toàn cho việc nghiên cứu bảo mật và báo cáo các lỗ hổng bảo mật, chúng tôi đã áp dụng Tiêu chuẩn vàng về đảm bảo an toàn. Chúng tôi mong muốn được hợp tác với các nhà nghiên cứu bảo mật có chung nhiệt huyết trong việc bảo vệ khách hàng của chúng tôi.
Tiêu chuẩn vàng về đảm bảo an toàn hỗ trợ bảo vệ các tổ chức và hacker mũ trắng tham gia vào Nghiên cứu bảo mật thiện chí. “Nghiên cứu bảo mật thiện chí” là việc truy cập vào máy tính chỉ nhằm mục đích kiểm thử, điều tra và/hoặc sửa chữa lỗi hoặc lỗ hổng bảo mật một cách thiện chí. Trong đó, các hoạt động như vậy được thực hiện theo cách tránh bất kỳ tác hại nào cho cá nhân hoặc công chúng, đồng thời thông tin thu được từ hoạt động sẽ được sử dụng chủ yếu để thúc đẩy bảo mật hoặc an toàn của lớp thiết bị, máy móc hoặc dịch vụ trực tuyến của máy tính được truy cập hoặc những người sử dụng các thiết bị, máy móc hoặc dịch vụ trực tuyến đó.
Chúng tôi coi Nghiên cứu bảo mật thiện chí là hoạt động được ủy quyền và được bảo vệ khỏi các hành động pháp lý đối nghịch từ phía chúng tôi. Chúng tôi từ bỏ bất kỳ hạn chế liên quan nào trong Điều khoản dịch vụ (“TOS”) và/hoặc Chính sách được phép sử dụng (“AUP”) mâu thuẫn với tiêu chuẩn Nghiên cứu bảo mật thiện chí được nêu ở đây.
Điều này có nghĩa là, đối với hoạt động được thực hiện trong khi chương trình này đang hoạt động, chúng tôi:
- Sẽ không khởi kiện bạn hoặc báo cáo bạn vì thực hiện Nghiên cứu bảo mật thiện chí, bao gồm cả việc vượt qua các biện pháp kỹ thuật mà chúng tôi sử dụng để bảo vệ các ứng dụng trong phạm vi; và,
- Sẽ thực hiện các bước để thông báo rằng bạn đã tiến hành Nghiên cứu bảo mật thiện chí nếu người khác đệ đơn kiện bạn.
Bạn nên liên hệ với chúng tôi để được làm rõ trước khi tham gia vào hành vi mà bạn cho rằng có thể không phù hợp với Nghiên cứu bảo mật thiện chí hoặc không được giải quyết bởi chính sách của chúng tôi.
Hãy nhớ rằng chúng tôi không thể ủy quyền nghiên cứu bảo mật trên cơ sở hạ tầng của bên thứ ba và bên thứ ba không bị ràng buộc bởi tuyên bố đảm bảo an toàn này.
Chính sách tiết lộ
Sau khi bạn gửi báo cáo, chúng tôi sẽ nỗ lực để xác thực lỗ hổng bảo mật mà bạn báo cáo. Nếu cần thêm thông tin để xác thực hoặc tái hiện vấn đề, chúng tôi sẽ làm việc với bạn. Khi điều tra ban đầu hoàn tất, chúng tôi sẽ gửi cho bạn kết quả cùng với kế hoạch giải quyết và thảo luận về việc công bố công khai.
Một số điều cần lưu ý về quy trình:
- Sản phẩm của bên thứ ba: Nếu lỗ hổng bảo mật được phát hiện là ảnh hưởng đến sản phẩm của bên thứ ba, chúng tôi sẽ thông báo cho chủ sở hữu của công nghệ bị ảnh hưởng. Chúng tôi sẽ tiếp tục phối hợp giữa bạn và bên thứ ba đó. Chúng tôi sẽ không tiết lộ danh tính của bạn cho bên thứ ba khi bạn chưa cho phép.
- Xác nhận không phải lỗ hổng bảo mật: Nếu không thể xác thực vấn đề hoặc vấn đề không nằm trong phạm vi, chúng tôi sẽ chia sẻ điều này với bạn.
- Phân loại lỗ hổng bảo mật: Chúng tôi sử dụng phiên bản 3.1 của Hệ thống chấm điểm lỗ hổng bảo mật chung (CVSS) để đánh giá các lỗ hổng bảo mật tiềm ẩn. Điểm số nhận được giúp chúng tôi có thể định lượng mức độ nghiêm trọng của vấn đề và ưu tiên đưa ra hành động ứng phó của mình. Để biết thêm thông tin về CVSS, vui lòng tham khảo trang web NVD.
Khi tham gia chương trình tiết lộ lỗ hổng bảo mật của chúng tôi theo nguyên tắc thiện chí, chúng tôi yêu cầu bạn:
- Tuân thủ nguyên tắc, bao gồm việc tuân thủ chính sách này cũng như mọi thoả thuận liên quan khác. Nếu có bất kỳ điểm không nhất quán nào giữa chính sách này và bất kỳ điều khoản hiện hành nào khác, các điều khoản của chính sách này sẽ được ưu tiên áp dụng;
- Nhanh chóng báo cáo bất kỳ lỗ hổng bảo mật nào bạn phát hiện ra;
- Tránh vi phạm quyền riêng tư của người khác, làm gián đoạn hệ thống của chúng tôi, phá hủy dữ liệu và/hoặc gây tổn hại đến trải nghiệm người dùng;
- Chỉ sử dụng các kênh nêu trên để thảo luận thông tin về lỗ hổng bảo mật với chúng tôi;
- Hãy cung cấp cho chúng tôi một khoảng thời gian hợp lý kể từ khi đưa ra báo cáo ban đầu để giải quyết vấn đề trước khi bạn tiết lộ công khai vấn đề đó;
- Chỉ thực hiện kiểm thử đối với các hệ thống nằm trong phạm vi và tôn trọng các hệ thống và hoạt động nằm ngoài phạm vi;
- Trong trường hợp lỗ hổng bảo mật cung cấp quyền truy cập không mong muốn vào dữ liệu: Hãy giới hạn lượng dữ liệu bạn truy cập ở mức tối thiểu để trình bày chứng minh khái niệm; đồng thời, hãy ngừng kiểm thử và gửi báo cáo ngay lập tức nếu bạn gặp phải bất kỳ dữ liệu người dùng nào trong quá trình kiểm thử, ví dụ như Thông tin nhận dạng cá nhân (PII), Thông tin chăm sóc sức khỏe cá nhân (PHI), dữ liệu thẻ tín dụng hoặc thông tin độc quyền;
- Chỉ tương tác với tài khoản kiểm thử của riêng bạn hoặc khi có quyền rõ ràng từ chủ tài khoản; và
- Không tham gia hành vi tống tiền.