Segnalazione di vulnerabilità
Segnalazione di vulnerabilità sospette
- Amazon Web Services (AWS): per segnalare una vulnerabilità o un problema di sicurezza con i servizi cloud AWS o i progetti open source, visita il nostro programma di divulgazione delle vulnerabilità su HackerOne. Per operazioni di invio al di fuori dell'ambito o della piattaforma H1 o per rispondere a qualsiasi domanda, contatta aws-security@amazon.com (chiave PGP).
- Amazon: per notificare una vulnerabilità o un problema di sicurezza riguardante i servizi o i prodotti della vendita al dettaglio di Amazon, rivolgiti alla sicurezza della vendita al dettaglio.
- Test di penetrazione: i clienti AWS sono invitati a eseguire valutazioni di sicurezza o test di penetrazione sulla loro infrastruttura AWS, senza previa approvazione, per i servizi elencati. Per ulteriori indicazioni, consulta la Politica per i test di penetrazione.
- Uso illecito di AWS: in caso di sospetto utilizzo delle risorse AWS (ad esempio un'istanza EC2 o un bucket S3) per attività sospette, si prega di completare il modulo di segnalazione illeciti di AWS o contatta trustandsafety@support.aws.com.
Per consentirci di rispondere in modo più efficace alla tua segnalazione, ti preghiamo di fornire qualsiasi materiale di supporto (codice proof of concept, output dello strumento, ecc.) che possa essere utile per aiutarci a comprendere la natura e la gravità della vulnerabilità.
Ambito Amazon CNA
Amazon CNA emetterà CVE per aiutare i clienti a gestire le vulnerabilità di sicurezza valide nelle seguenti classi:
- Servizi AWS forniti da AWS e resi disponibili pubblicamente ai clienti (ad esempio Amazon EC2, Amazon RDS).
- Servizi Amazon forniti da Amazon e resi disponibili pubblicamente ai clienti (ad esempio Servizio API per venditori Amazon.com).
- Software open source all'interno di un'organizzazione GitHub gestita da Amazon o AWS.
- Software client distribuito da Amazon o AWS e disponibile per il download da un sito Web o da un percorso di download proprietario e gestito da noi (ad esempio SDK di Amazon Appstore, SDK di Amazon Input, App Kindle di Amazon, App MShop di Amazon, client Amazon WorkSpaces).
- Dispositivi prodotti da Amazon o AWS e disponibili per l'acquisto e l'uso da parte dei clienti (ad esempio Amazon Fire TV, dispositivi Amazon Echo, Amazon Kindle, AWS Outpost).
Inoltre, tutti i requisiti elencati di seguito devono essere soddisfatti:
- Impatto sui clienti: il problema deve rientrare in una categoria di prodotti o servizi di Amazon o AWS resa pubblicamente disponibile ai clienti; E
- Azione del cliente: la risoluzione dei problemi relativi ai prodotti supportati o EOL (a fine ciclo di vita)/EOS (a fine vendita) richiede l'intervento del cliente, inclusa la necessità di prendere decisioni basate sui rischi per gestire la risoluzione (OPPURE i clienti devono valutarne l'impatto potenziale) OPPURE quando è necessario considerare le situazioni in cui una vulnerabilità di sicurezza valida diventerà pubblica (OPPURE potrebbe diventare pubblica); E
- punteggio CVSS: 4.0 (MEDIO) o superiore.
I problemi relativi a servizi, software o hardware che non sono considerati una vulnerabilità includono, ma non si limitano a:
- Configurazione non predefinita o modifiche apportate utilizzando credenziali valide e correttamente autorizzate
- Presa di mira delle risorse dei clienti Amazon o AWS (o dei siti non AWS in hosting sull'infrastruttura AWS)
- Qualsiasi vulnerabilità ottenuta attraverso il compromesso degli account dei clienti o dei dipendenti di Amazon o AWS
- Qualsiasi attacco Denial of Service (DoS) contro prodotti Amazon o AWS (o clienti Amazon o AWS)
- Attacchi fisici contro dipendenti, sedi e data center Amazon o AWS
- Social engineering dei dipendenti, appaltatori, fornitori o service provider Amazon o AWS
- Pubblicazione, trasmissione, caricamento, collegamento o invio deliberato di malware
- Perseguimento di vulnerabilità che inviano messaggi in massa (spam) non richiesti
Segnalazione di vulnerabilità in AWS
AWS si impegna a rispondere il più velocemente possibile e a informarti costantemente sullo stato di avanzamento della richiesta. Riceverai una risposta non automatica che conferma la ricezione del rapporto iniziale entro 24 ore, aggiornamenti tempestivi e controlli mensili per tutta la durata del rapporto. Puoi richiedere aggiornamenti in qualsiasi momento e ogni discussione che chiarisca dubbi o coordinamento della divulgazione è ben accetta.
Le attività di cui sopra non considerate una vulnerabilità non rientrano nell'ambito del Programma di divulgazione delle vulnerabilità di AWS. Eseguire una delle attività sopra elencate comporterà l'esclusione permanente dal programma.
Divulgazione al pubblico
Quando applicabile, AWS coordinerà con l'autore della segnalazione la divulgazione al pubblico di eventuali vulnerabilità accertate. Quando possibile, preferiamo che le nostre rispettive comunicazioni al pubblico siano pubblicate contemporaneamente.
Per proteggere i clienti, AWS richiede di non pubblicare o condividere informazioni relative a una potenziale vulnerabilità in alcun contesto pubblico finché la vulnerabilità segnalata non sarà stata risolta e i clienti non saranno stati informati, ove necessario. Inoltre, chiediamo rispettosamente di non pubblicare o condividere dati appartenenti ai nostri clienti. Si prega di notare che il tempo necessario per mitigare una vulnerabilità dipende dalla gravità della vulnerabilità stessa e dai sistemi interessati.
AWS rende pubbliche notifiche tramite Bollettini sulla sicurezza, che vengono pubblicati sul sito Web di sicurezza AWS. Singoli individui, aziende e team di sicurezza in genere pubblicano i propri avvisi sui propri siti Web e in altri forum e, se pertinente, includeremo collegamenti a tali risorse di terze parti nei bollettini sulla sicurezza di AWS.
Safe Harbor
Crediamo che la ricerca sulla sicurezza condotta in buona fede debba essere protetta da Safe Harbor. Per il Safe Harbor nell'ambito della ricerca sulla sicurezza e della segnalazione delle vulnerabilità, abbiamo adottato il Gold Standard Safe Harbor. Non vediamo l'ora di lavorare con ricercatori di sicurezza che condividano la nostra passione per la protezione dei clienti AWS.
Gold Standard Safe Harbor supporta la protezione delle organizzazioni e degli hacker impegnati nella ricerca sulla sicurezza in buona fede. Le ricerche sulla sicurezza in buona fede consistono nell'accedere a un computer esclusivamente per scopi di test, indagine e/o correzione in buona fede di difetti o vulnerabilità di sicurezza. Tali attività sono svolte in modo tale da evitare qualsiasi danno agli individui o al pubblico; le informazioni derivate dall'attività sono utilizzate principalmente per promuovere la sicurezza o la protezione della classe di dispositivi, macchine o servizi online a cui appartiene il computer a cui si è effettuato l'accesso o di coloro che li utilizzano.
Consideriamo la ricerca sulla sicurezza in buona fede come un'attività autorizzata protetta da azioni legali contraddittorie da parte nostra. Rinunciamo a qualsiasi restrizione pertinente nei nostri Termini di servizio (“TOS”) e/o nelle Policy di utilizzo accettabile (“AUP”) che sia in conflitto con lo standard per la ricerca sulla sicurezza in buona fede qui delineato.
Ciò significa che, per le attività condotte mentre il programma è attivo:
- non intraprenderemo azioni legali né denunce relativamente alla ricerca sulla sicurezza in buona fede, anche se dovessero essere effettuate per aggirare le misure tecnologiche utilizzate per proteggere le applicazioni nell'ambito; e
- prenderemo provvedimenti per far sapere che è stata condotta una ricerca sulla sicurezza in buona fede se altri dovessero intraprendere un'azione legale per lo stesso motivo.
Invitiamo a contattarci per ulteriori chiarimenti prima di intraprendere una condotta che possa essere ritenuta incoerente con la ricerca sulla sicurezza in buona fede o non descritta dalle nostre policy.
Nota: non siamo in grado di autorizzare ricerche di sicurezza su infrastrutture di terze parti. Inoltre, una terza parte non è vincolata da questa dichiarazione di Safe Harbor.
Policy di divulgazione
Una volta inviata la segnalazione, esamineremo la vulnerabilità segnalata. Se dovessero essere necessarie ulteriori informazioni per analizzare o riprodurre il problema, lavoreremo insieme per ottenerle. Una volta completata l'indagine iniziale, invieremo i risultati insieme a un piano per la risoluzione del problema e la discussione sulla divulgazione pubblica.
Alcuni aspetti da notare sul processo:
- Prodotti di terze parti: se la vulnerabilità interessa un prodotto di terze parti, invieremo una notifica al titolare della tecnologia interessata. Proseguiremo nell'indagine coordinandoci sia con chi ha effettuato la segnalazione sia con la terza parte coinvolta. L'identità di chi ha effettuato la segnalazione non sarà divulgata alla terza parte senza il suo consenso.
- Conferma di non vulnerabilità: qualora il problema non potesse essere convalidato o non fosse incluso nell'ambito, lo comunicheremo.
- Classificazione delle vulnerabilità: utilizziamo la versione 3.1 del Common Vulnerability Scoring System (CVSS) per valutare potenziali vulnerabilità. Il punteggio risultante ci consente di quantificare la gravità del problema e di dare priorità alla nostra risposta. Per ulteriori informazioni su CVSS, fare riferimento al sito NVD.
Nel partecipare in buona fede al nostro programma di divulgazione delle vulnerabilità, chiediamo di:
- rispettare le regole, incluso il rispetto di questa policy e di qualsiasi altro accordo pertinente; In caso di incongruenza tra questa politica e qualsiasi altra condizione applicabile, prevarranno i termini di questa politica;
- Segnalare tempestivamente qualsiasi vulnerabilità che hai scoperto;
- Evitare di violare la privacy altrui, interrompere i nostri sistemi, distruggere i dati e/o danneggiare l'esperienza dell'utente;
- Utilizzare solo i canali menzionati in precedenza per discutere con noi delle informazioni sulle vulnerabilità;
- Fornirci un periodo di tempo ragionevole dalla segnalazione iniziale per risolvere il problema prima di divulgarlo pubblicamente;
- Eseguire test solo su sistemi che rientrano nell'ambito di applicazione e rispettare i sistemi e le attività che non rientrano nell'ambito di applicazione;
- Se una vulnerabilità fornisce un accesso involontario ai dati: limitare la quantità di dati a cui accedi al minimo necessario per dimostrare efficacemente un proof of concept; interrompere i test e inviare immediatamente un rapporto se durante il test riscontri dati degli utenti, come informazioni di identificazione personale (PII), informazioni sanitarie personali (PHI), dati della carta di credito o informazioni proprietarie;
- interagire solo con gli account di prova in possesso o di cui si dispone di autorizzazione esplicita del titolare;
- non commettere estorsioni.