Мы уделяем огромное внимание вопросам безопасности и исследуем все уязвимости, о которых сообщают наши клиенты. На этой странице описан порядок сообщения о потенциальных уязвимостях в любой части структуры облачных сервисов AWS.

  • Магазин Amazon.com. Если у вас возникли опасения, связанные с безопасностью таких ресурсов, как интернет-магазин розничной торговли Amazon.com, Seller Central, Amazon Payments, или иные аналогичные проблемы, например подозрительные заказы, необоснованное списание средств с кредитной карты, подозрительные электронные письма, а также если вы хотите сообщить об уязвимостях, перейдите на страницу https://amazon.com/security
  • Amazon Web Services (AWS). Чтобы сообщить об уязвимости или проблеме безопасности таких облачных сервисов AWS, как EC2, S3, CloudFront, RDS и т. д., свяжитесь с нами по адресу aws-security@amazon.com. Для защиты электронной почты используйте PGP, ключ вы найдете здесь.

Если у вас есть подозрение, что ресурсы AWS (например, инстанс EC2 или корзина S3) используются для запрещенных действий, сообщить об этом в конфликтную комиссию AWS можно здесь.

Чтобы мы могли эффективно отреагировать на ваше сообщение, просим при этом предоставлять подтверждающие материалы (код, выходные данные программного средства и т. п.), которые помогут нам определить происхождение и серьезность уязвимости.

Информация, сообщаемая вами AWS в рамках данного процесса, является конфиденциальной и не может быть передана третьим лицам без вашего разрешения.

Мы ознакомимся с вашим отчетом, присвоим ему идентификационный номер и ответим на ваше сообщение, подтвердив получение отчета и наметив последующие действия по решению проблемы.

Получив отчет, AWS займется оценкой уязвимости. Если для оценки или воспроизведения проблемы потребуется дополнительная информация, мы обратимся к вам. После выполнения предварительного исследования мы сообщим вам его результаты, представим план разрешения проблемы и обнародования информации о ней.

Отметим следующие моменты процесса оценки AWS:

  • Продукты сторонних поставщиков. Многие поставщики предлагают свои продукты для использования в облаке AWS. Если окажется, что уязвимость влияет на работу продукта стороннего поставщика, AWS сообщит об этом создателю данного ПО. Мы продолжим координировать ваши действия с действиями последнего, не разглашая ваших личных данных без вашего на то согласия.
  • Неподтвержденные уязвимости. Если подтвердить наличие проблемы невозможно или если проблема не являлась ошибкой в продукте AWS, мы сообщим вам об этом.
  • Классификация уязвимостей. Для оценки потенциальных уязвимостей в AWS используется версия 2.0 общей системы оценки уязвимостей (CVSS). На основании полученного балла мы определяем уровень серьезности проблемы и ее приоритетность. Подробную информацию о системе CVSS вы найдете на странице описания CVSS-SIG.

Мы будем поддерживать связь с вами и информировать о продвижении процесса исследования и/или разрешения обнаруженной вами проблемы безопасности. В течение 24 рабочих часов со времени сообщения об уязвимости вы получите индивидуальный ответ с подтверждением получения вашего отчета. Мы будем направлять вам обновленную информацию о продвижении процесса не реже, чем раз в пять рабочих дней.

В тех случаях, когда это применимо, AWS будет согласовывать с вами свои действия по публичному оповещению о подтвержденных уязвимостях. По возможности, информация об одной и той же уязвимости должна публиковаться обеими сторонами одновременно.

Чтобы защитить наших клиентов, мы просим не публиковать и не распространять никакой информации о потенциальных уязвимостях на публично доступных ресурсах до проведения нами исследования уязвимости, принятия мер и при необходимости оповещения клиентов. Просим также не публиковать и не распространять никаких данных, касающихся наших клиентов. Устранение подтвержденной уязвимости занимает некоторое время в зависимости от уровня серьезности данной уязвимости и от того, какие системы она затрагивает.

Публичные оповещения AWS в форме бюллетеней по безопасности публикуются в Центре безопасности AWS. Частные лица, компании и отделы безопасности обычно публикуют свои предупреждения об опасности на собственных веб-сайтах или на форумах, и мы включаем ссылки на такого рода сторонние ресурсы в сводки о безопасности AWS, когда это уместно.

 

Свяжитесь с нами