การรายงานช่องโหว่ด้านความปลอดภัย
การรายงานช่องโหว่ที่น่าสงสัย
- Amazon Web Services (AWS): หากต้องการรายงานช่องโหว่หรือข้อกังวลด้านความปลอดภัยกับ AWS Cloud หรือโครงการโอเพ่นซอร์ส โปรดไปที่โครงการการเปิดเผยช่องโหว่ของเราบน HackerOne สำหรับการส่งข้อมูลที่อยู่นอกขอบเขต/แพลตฟอร์ม H1 หรือเพื่อตอบคำถามใดๆ โปรดติดต่อ aws-security@amazon.com (คีย์ PGP)
- Amazon: แจ้งฝ่ายความปลอดภัยร้านค้าปลีกเกี่ยวกับช่องโหว่หรือปัญหาความปลอดภัยที่เกี่ยวข้องกับบริการหรือผลิตภัณฑ์ของ Amazon Retail
- การประเมินความเสี่ยงด้วยการทดสอบเจาะระบบ: ลูกค้า AWS สามารถดำเนินการประเมินความปลอดภัยหรือการประเมินความเสี่ยงด้วยการทดสอบเจาะระบบโครงสร้างพื้นฐานของ AWS ของตนได้โดยไม่ต้องขออนุมัติล่วงหน้าสำหรับบริการที่ระบุ สำหรับคำแนะนำเพิ่มเติม โปรดอ่านนโยบายสำหรับการประเมินความเสี่ยงด้วยการทดสอบเจาะระบบ
- AWS Abuse: หากคุณสงสัยว่ามีการใช้งานทรัพยากร AWS (เช่นอินสแตนซ์ EC2 หรือบัคเก็ต S3) สำหรับกิจกรรมที่น่าสงสัย โปรดกรอกแบบฟอร์มการละเมิด AWS หรือติดต่อที่ trustandsafety@support.aws.com
เพื่อให้เราตอบสนองต่อรายงานของคุณได้อย่างมีประสิทธิภาพมากขึ้น โปรดแจ้งข้อมูลสนับสนุนทั้งหมด (โค้ดการพิสูจน์แนวคิด เอาต์พุตเครื่องมือ ฯลฯ) ที่จะเป็นประโยชน์และช่วยให้เราเข้าใจลักษณะและความรุนแรงของช่องโหว่ได้
ขอบเขตของ Amazon CNA
Amazon CNA จะออก CVE เพื่อสนับสนุนลูกค้าในการแก้ไขช่องโหว่ด้านความปลอดภัยที่ถูกต้องภายในคลาสต่อไปนี้:
- บริการ AWS จัดทำโดย AWS และเปิดให้ลูกค้าเข้าถึงได้สาธารณะ (เช่น Amazon EC2, Amazon RDS)
- บริการ Amazon จัดทำโดย Amazon และเปิดให้ลูกค้าเข้าถึงได้สาธารณะ (เช่น Amazon.com Seller API Service)
- ซอฟต์แวร์โอเพ่นซอร์สภายในองค์กร GitHub ที่จัดการโดย Amazon หรือ AWS
- ซอฟต์แวร์ไคลเอ็นต์ที่เผยแพร่โดย Amazon หรือ AWS และพร้อมสำหรับการดาวน์โหลดจากเว็บไซต์หรือตำแหน่งดาวน์โหลดที่เป็นของเราและดำเนินการ (เช่น Amazon Appstore SDK, Amazon Input SDK, Amazon Kindle App, Amazon MShop App, ไคลเอนต์ Amazon WorkSpaces)
- อุปกรณ์ที่ผลิตโดย Amazon หรือ AWS และพร้อมให้ลูกค้าซื้อและใช้งานได้ (เช่น Amazon Fire TV, อุปกรณ์ Amazon Echo, Amazon Kindle, AWS Outpost)
นอกจากนี้ ต้องปฏิบัติตามข้อกำหนดทั้งหมดด้านล่างนี้:
- ผลกระทบต่อลูกค้า: จะต้องมีปัญหาอยู่ภายในคลาสที่เป็นของ Amazon หรือ AWS ซึ่งเปิดให้ลูกค้าเข้าถึงได้สาธารณะ และ
- หน่วยงานลูกค้า: การแก้ไขปัญหาผลิตภัณฑ์ที่ได้รับการสนับสนุนหรือ EOL/EOS ต้องดำเนินการโดยลูกค้า รวมถึงการตัดสินใจเกี่ยวกับการแก้ไขปัญหาโดยพิจารณาจากความเสี่ยง (หรือลูกค้าจำเป็นต้องประเมินผลกระทบที่อาจเกิดขึ้น) หรือเมื่อช่องโหว่ด้านความปลอดภัยที่ถูกต้องจะเปิดเผยต่อสาธารณะ (หรือมีศักยภาพที่จะเปิดเผยต่อสาธารณะ) และ
- คะแนน CVSS: 4.0 (ปานกลาง) หรือสูงกว่า
ปัญหาด้านบริการ ซอฟต์แวร์ หรือฮาร์ดแวร์ที่ถือว่าไม่ใช่ช่องโหว่ ได้แก่ แต่ไม่จำกัดเพียง:
- การกำหนดค่าที่ไม่ใช่ค่าเริ่มต้นหรือการเปลี่ยนแปลงที่ทำโดยใช้ข้อมูลประจำตัวที่ถูกต้องซึ่งได้รับอนุญาตอย่างถูกต้อง
- การมุ่งเป้าไปที่สินทรัพย์ของลูกค้า Amazon หรือ AWS (หรือไซต์ที่ไม่ใช่ AWS ที่โฮสต์บนโครงสร้างพื้นฐาน AWS)
- ช่องโหว่ที่มาจากการเข้าถึงบัญชีของลูกค้าหรือพนักงาน Amazon หรือ AWS โดยไม่ได้รับอนุญาต
- การโจมตีโดยปฏิเสธการให้บริการ (DoS) ต่อผลิตภัณฑ์ของ Amazon หรือ AWS (หรือลูกค้าของ Amazon หรือ AWS)
- การโจมตีทางกายภาพต่อพนักงาน สำนักงาน และศูนย์ข้อมูลของ Amazon หรือ AWS
- การโจมตีแบบวิศวกรรมสังคมต่อพนักงาน ผู้รับจ้าง ผู้จำหน่าย หรือผู้ให้บริการของ Amazon หรือ AWS
- การโพสต์ การถ่ายทอด การอัปโหลด การลิงก์ไปยัง หรือการส่งมัลแวร์โดยรู้เท่าทัน
- การดำเนินการตามช่องโหว่ซึ่งส่งข้อความที่ไม่ได้ร้องขอเป็นจำนวนมาก (สแปม)
การรายงานช่องโหว่ของ AWS
AWS มุ่งมั่นที่จะตอบสนองและแจ้งให้คุณทราบถึงความก้าวหน้าของเราอยู่เสมอ คุณจะได้รับการอัปเดตอย่างทันท่วงที ซึ่งเป็นการตอบกลับแบบไม่อัตโนมัติที่จะตรวจสอบการรับรายงานเบื้องต้นของคุณภายใน 24 ชั่วโมง และการเช็คอินทุกเดือนตลอดระยะเวลาการมีส่วนร่วม คุณสามารถขอข้อมูลอัปเดตได้ตลอดเวลา และเรายินดีรับการสนทนาที่ชี้แจงข้อกังวลหรือการประสานงานการเปิดเผยข้อมูล
กิจกรรมที่ถือว่าไม่ใช่ช่องโหว่ที่กล่าวข้างต้นจะไม่อยู่ในขอบเขตของโปรแกรมการเปิดเผยช่องโหว่ของ AWS อีกต่อไป การดำเนินกิจกรรมใดๆ ที่พูดถึงข้างต้นจะส่งผลให้ถูกตัดสิทธิ์จากโปรแกรมเป็นการถาวร
การแจ้งต่อสาธารณะ
AWS จะประสานงานการแจ้งต่อสาธารณะเกี่ยวกับช่องโหว่ที่ยืนยันแล้วกับคุณ หากสามารถทำได้ เราต้องการให้มีการโพสต์เปิดเผยต่อสาธารณะดังกล่าวพร้อมกันหากเป็นไปได้
เพื่อปกป้องลูกค้าของเรา AWS ขอให้คุณอย่าโพสต์หรือแชร์ข้อมูลเกี่ยวกับช่องโหว่ที่อาจเกิดขึ้นในที่สาธารณะใดๆ จนกว่าเราจะดำเนินการแก้ไขช่องโหว่ที่มีการรายงาน และแจ้งให้ลูกค้าทราบหากจำเป็น นอกจากนี้ เรายังต้องขอด้วยความเคารพไม่ให้คุณโพสต์หรือแชร์ข้อมูลใดๆ ของลูกค้า โปรดทราบว่าเวลาที่จำเป็นในการบรรเทาช่องโหว่ขึ้นอยู่กับความร้ายแรงของช่องโหว่และระบบที่ได้รับผลกระทบ
AWS จะแจ้งต่อสาธารณะในรูปแบบของกระดานข่าวด้านความปลอดภัย ซึ่งโพสต์ไว้ในเว็บไซต์ AWS Security โดยปกติ บุคคล บริษัท และทีมงานด้านความปลอดภัยจะโพสต์คำแนะนำของตนบนเว็บไซต์ของตนเองและในฟอรัมอื่นๆ เราจะระบุลิงก์ไปยังทรัพยากรของบุคคลภายนอกในกระดานข่าวด้านความปลอดภัยของ AWS เมื่อมีข้อมูลที่เกี่ยวข้อง
ข้อยกเว้นความรับผิด
เราเชื่อว่าการวินิจฉัยด้านความปลอดภัยที่ดำเนินการด้วยความสุจริตควรได้รับข้อยกเว้นความรับผิด เพื่อวัตถุประสงค์ในการรักษาความปลอดภัยสำหรับการวิจัยด้านความปลอดภัยและการรายงานช่องโหว่ เราได้นำ มาตรฐานข้อยกเว้นความรับผิด มาใช้ เราตั้งตารอที่จะได้ร่วมงานกับนักวิจัยด้านความปลอดภัยที่มีความหลงใหลในการปกป้องลูกค้าของเราเช่นเดียวกับเรา
มาตรฐานข้อยกเว้นความรับผิดสนับสนุนการปกป้ององค์กรและแฮกเกอร์ที่มีส่วนร่วมในการวิจัยด้านการรักษาความปลอดภัยด้วยเจตนาดี “การวิจัยด้านการรักษาความปลอดภัยด้วยเจตนาดี” คือการเข้าถึงคอมพิวเตอร์เพื่อวัตถุประสงค์ในการทดสอบ ตรวจสอบและ/หรือแก้ไขข้อบกพร่องหรือช่องโหว่ด้านความปลอดภัย ในกรณีที่กิจกรรมดังกล่าวดำเนินการในลักษณะที่ออกแบบมาเพื่อหลีกเลี่ยงอันตรายต่อบุคคลหรือสาธารณชน และหากข้อมูลที่ได้จากกิจกรรมนี้ใช้เพื่อส่งเสริมความปลอดภัยหรือความปลอดภัยของประเภทของอุปกรณ์ เครื่องจักร หรือบริการออนไลน์ที่คอมพิวเตอร์ที่เข้าถึง หรือผู้ที่ใช้อุปกรณ์ดังกล่าว หรือบริการออนไลน์
เราถือว่าการวิจัยด้านการรักษาความปลอดภัยด้วยเจตนาดีเป็นกิจกรรมที่ได้รับอนุญาตซึ่งได้รับการคุ้มครองจากการดำเนินการทางกฎหมายที่ขัดแย้งโดยเรา เรายกเว้นข้อจำกัดที่เกี่ยวข้องใน เงื่อนไขการให้บริการ (“TOS”) และ/หรือ นโยบายการใช้งานที่ยอมรับได้ (“AUP”) ที่ขัดแย้งกับมาตรฐานสำหรับการวิจัยด้านการรักษาความปลอดภัยด้วยเจตนาดีที่ระบุไว้ที่นี่
ซึ่งหมายความว่าสำหรับกิจกรรมที่ดำเนินการในขณะที่โปรแกรมนี้ใช้งานอยู่ เรา:
- จะไม่ ดำเนินการตามกฎหมายต่อคุณหรือรายงานคุณเพื่อการวิจัยด้านความปลอดภัยที่ดีศรัทธา รวมถึงการหลีกเลี่ยงมาตรการทางเทคโนโลยีที่เราใช้เพื่อปกป้องแอปพลิเคชันในขอบเขต และ
- จะ ดำเนินการตามขั้นตอนเพื่อแจ้งให้ทราบว่าคุณได้ทำการวิจัยด้านความปลอดภัยในความสุจริต หากมีคนอื่นดำเนินการตามกฎหมายกับคุณ
คุณควรติดต่อเราเพื่อขอชี้แจงก่อนที่จะมีส่วนร่วมในพฤติกรรมที่คุณคิดว่าอาจไม่สอดคล้องกับการวิจัยด้านความปลอดภัยในความเชื่อมั่นในความเชื่อมั่นหรือไม่ได้รับการแก้ไขโดยนโยบายของเรา
โปรดทราบว่าเราไม่สามารถอนุมัติการวิจัยด้านความปลอดภัยเกี่ยวกับโครงสร้างพื้นฐานของบุคคลที่สามและบุคคลที่สามจะไม่ผูกพันกับคำชี้แจงท่าเรือปลอดภัย
นโยบายการเปิดเผยข้อมูล
เมื่อส่งรายงานแล้ว เราจะดำเนินการตรวจสอบช่องโหว่ที่ได้รับรายงาน หากจำเป็นต้องใช้ข้อมูลเพิ่มเติมเพื่อตรวจสอบหรือจำลองปัญหา เราจะร่วมมือกับคุณเพื่อหาข้อมูลดังกล่าว เมื่อการตรวจสอบขั้นต้นเสร็จสมบูรณ์ จะมีการส่งผลลัพธ์ให้คุณพร้อมแผนการแก้ไขปัญหาและการปรึกษาหารือเกี่ยวกับการเปิดเผยต่อสาธารณะ
สิ่งที่ควรทราบเกี่ยวกับกระบวนการมีดังนี้:
- ผลิตภัณฑ์บุคคลที่สาม: หากมีการพบช่องโหว่ที่ส่งผลกระทบต่อผลิตภัณฑ์ของบริษัทภายนอก เราจะแจ้งให้เจ้าของเทคโนโลยีที่ได้รับผลกระทบทราบ เราจะยังคงประสานงานระหว่างคุณกับบริษัทภายนอกต่อไป จะไม่มีการเปิดเผยตัวตนของคุณให้บริษัทภายนอกทราบโดยไม่ได้รับอนุญาตจากคุณ
- การยืนยันการไม่มีช่องโหว่: หากไม่สามารถยืนยันปัญหา หรือไม่พบข้อบกพร่องในขอบเขต จะมีการแจ้งผลลัพธ์นี้ให้คุณทราบ
- การจัดหมวดหมู่ของช่องโหว่: เราใช้ Common Vulnerability Scoring System (CVSS) เวอร์ชัน 3.1 เพื่อประเมินช่องโหว่ที่อาจเกิดขึ้น คะแนนผลลัพธ์จะแสดงความรุนแรงของปัญหาและจัดลำดับความสำคัญในการตอบสนองของเรา สำหรับข้อมูลเพิ่มเติมเกี่ยวกับ CVSS โปรดอ้างอิง เว็บไซต์ NVD
เพื่อเข้าร่วมอย่างสุจริตในโครงการเปิดเผยช่องโหว่ของเรา เราขอให้คุณ:
- ปฏิบัติตามกฎ รวมถึงการปฏิบัติตามนโยบายนี้และข้อตกลงอื่น ๆ ที่เกี่ยวข้อง หากมีความไม่สอดคล้องกันระหว่างนโยบายนี้กับข้อกำหนดอื่นที่เกี่ยวข้อง ให้ยึดข้อกำหนดของนโยบายนี้เป็นหลัก
- รายงานช่องโหว่ที่คุณพบทันที
- หลีกเลี่ยงการละเมิดความเป็นส่วนตัวของผู้อื่น ขัดขวางระบบของเรา ทำลายข้อมูล และ/หรือทำให้ประสบการณ์ของผู้ใช้เสียหาย
- ใช้เฉพาะช่องทางที่กล่าวถึงก่อนหน้านี้เพื่อหารือเกี่ยวกับข้อมูลช่องโหว่กับเรา
- ให้เวลาแก่เราตามสมควรจากการรายงานเบื้องต้นเพื่อแก้ไขปัญหาก่อนที่คุณจะเปิดเผยต่อสาธารณะ
- ทดสอบบนระบบที่อยู่ในขอบเขตเท่านั้น และเคารพระบบและกิจกรรมที่อยู่นอกขอบเขต
- หากช่องโหว่ทำให้เกิดการเข้าถึงข้อมูลโดยไม่ได้ตั้งใจ: ให้จำกัดปริมาณข้อมูลที่คุณเข้าถึงให้เหลือน้อยที่สุดที่จำเป็นสำหรับการสาธิตการพิสูจน์แนวคิดอย่างมีประสิทธิภาพ และหยุดการทดสอบและส่งรายงานเข้ามาทันทีหากคุณพบข้อมูลผู้ใช้ในระหว่างการทดสอบ เช่น ข้อมูลที่ระบุตัวตนของบุคคลได้ (PII) ข้อมูลการดูแลสุขภาพส่วนบุคคล (PHI) ข้อมูลบัตรเครดิต หรือข้อมูลที่เป็นกรรมสิทธิ์
- ติดต่อกับบัญชีทดสอบที่คุณเป็นเจ้าของหรือได้รับอนุญาตอย่างชัดแจ้งจากเจ้าของบัญชีเท่านั้น และ
- อย่ามีส่วนร่วมในการบีบบังคับ