Pelaporan Kerentanan

Menangani potensi kerentanan dalam segala aspek layanan cloud kami

Amazon Web Services sangat mengutamakan keamanan, dan menyelidiki semua kerentanan yang dilaporkan. Halaman ini mendeskripsikan praktik kami untuk menangani potensi kerentanan dalam segala aspek layanan cloud kami.

Melaporkan Dugaan Kerentanan

  • Amazon.com (Ritel): Jika Anda mengalami masalah keamanan dengan ritel Amazon.com (Ritel), Pusat Penjual, Amazon Payments, atau masalah terkait lainnya seperti pesanan mencurigakan, tagihan kartu kredit tidak sah, email mencurigakan, atau pelaporan kerentanan, kunjungi halaman web Keamanan untuk Ritel kami.
  • Amazon Web Services (AWS): Jika Anda ingin melaporkan kerentanan atau mengalami masalah keamanan terkait layanan AWS cloud, kirimkan email ke aws-security@amazon.com. Jika ingin melindungi email, Anda dapat menggunakan kunci PGP kami.

Jika Anda menduga bahwa sumber daya AWS (seperti instans EC2 atau bucket S3) digunakan untuk aktivitas mencurigakan, Anda dapat melaporkannya ke Tim Penyalahgunaan AWS.

Agar kami dapat merespons laporan Anda secara lebih efektif, berikan materi pendukung (kode bukti konsep, output alat, dll.) yang akan berguna dalam membantu kami memahami sifat dan keparahan kerentanan tersebut.

Informasi yang Anda bagikan dengan AWS sebagai bagian dari proses ini dijaga kerahasiaannya di dalam AWS. Informasi ini tidak akan dibagikan kepada pihak ketiga tanpa izin Anda.

AWS akan meninjau laporan yang dikirim, dan menetapkan nomor pelacakannya. Selanjutnya kami akan merespons Anda, dengan menyatakan penerimaan laporan, dan menguraikan langkah berikutnya dalam proses.

Evaluasi oleh AWS

Setelah laporan dikirim, AWS akan bekerja untuk memvalidasi kerentanan yang dilaporkan. Jika informasi tambahan diperlukan untuk memvalidasi atau memunculkan kembali masalah, AWS akan bekerja dengan Anda untuk memperoleh informasi tersebut. Ketika penyelidikan awal selesai, hasilnya akan dikirimkan kepada Anda bersama dengan rencana untuk penyelesaian dan pengungkapan publik.

Beberapa hal yang perlu diperhatikan tentang proses evaluasi AWS:

  • Produk Pihak Ketiga: Banyak vendor menawarkan produk dalam AWS cloud. Jika kerentanan didapati memengaruhi produk pihak ketiga, AWS akan memberi tahu pembuat perangkat lunak yang terpengaruh. AWS akan terus berkoordinasi dengan Anda dan pihak ketiga terkait. Identitas Anda tidak akan diungkapkan kepada pihak ketiga tanpa izin Anda.
  • Konfirmasi Non-Kerentanan: Jika masalah tidak dapat divalidasi, atau ternyata bukan kerusakan dalam produk AWS, hal ini akan disampaikan kepada Anda.
  • Klasifikasi Kerentanan: AWS menggunakan Common Vulnerability Scoring System (CVSS) versi 2.0 untuk mengevaluasi potensi kerentanan. Skor yang dihasilkan membantu menguantifikasi keparahan masalah dan memproritaskan respons kami. Untuk informasi lebih lanjut tentang CVSS, lihat Pengumuman CVSS-SIG.

AWS berkomitmen untuk merespons dengan cepat dan terus memberi tahu Anda tentang progres kami ketika kami menyelidiki dan/atau memitigasi masalah keamanan yang Anda laporkan. Anda akan menerima respons non-otomatis di kontak awal Anda dalam waktu 24 jam, yang mengonfirmasi penerimaan kerentanan yang Anda laporkan. Anda akan menerima info progres dari kami minimal setiap lima hari kerja.

Pemberitahuan Publik

Jika berlaku, AWS akan mengoordinasikan pemberitahuan publik tentang kerentanan yang divalidasi dengan Anda. Jika memungkinkan, kami lebih memilih agar masing-masing pengungkapan publik kami diposting secara serentak.

Untuk melindungi pelanggan kami, AWS meminta Anda untuk tidak memposting atau membagikan informasi apa pun tentang potensi kerentanan secara publik hingga kami telah meneliti, merespons, dan menangani kerentanan yang dilaporkan, dan memberi tahu pelanggan jika perlu. Selain itu, kami meminta dengan hormat kepada Anda untuk tidak memposting atau membagikan data apa pun milik pelanggan kami. Menangani kerentanan valid yang dilaporkan akan memerlukan waktu. Waktu akan bervariasi berdasarkan keparahan kerentanan dan sistem yang terpengaruh.

Pemberitahuan publik AWS berbentuk Buletin Keamanan, yang diposting di AWS Security Center. Individu, perusahaan, dan tim keamanan biasanya memposting pengumuman resmi di situs webnya sendiri dan di forum lain dan bila relevan, kami akan menyertakan link ke sumber daya pihak ketiga tersebut dalam buletin Keamanan AWS.

Hubungi Perwakilan Bisnis AWS
Ada Pertanyaan? Terhubung dengan Perwakilan Bisnis AWS
Menjejalahi peran keamanan?
Daftar sekarang »
Menginginkan info terkini tentang Keamanan AWS?
Ikuti kami di Twitter »