Pelaporan Kerentanan
Melaporkan Dugaan Kerentanan
- Amazon Web Services (AWS): Untuk melaporkan kerentanan atau masalah keamanan terkait layanan cloud AWS atau proyek sumber terbuka, kunjungi Program Pengungkapan Kerentanan di HackerOne. Untuk pengajuan di luar cakupan/platform H1, atau untuk menjawab pertanyaan apa pun, hubungi aws-security@amazon.com (Kunci PGP).
- Amazon: Beri tahu Keamanan Ritel mengenai masalah kerentanan atau keamanan terkait layanan atau produk Amazon Retail.
- Uji Penetrasi: Pelanggan AWS dipersilakan untuk menjalankan penilaian keamanan atau uji penetrasi terhadap infrastruktur AWS mereka tanpa persetujuan terlebih dahulu untuk layanan yang tercantum. Untuk panduan tambahan, tinjau Kebijakan untuk Uji Penetrasi.
- Penyalahgunaan AWS: Jika Anda menduga bahwa sumber daya AWS (seperti instans EC2 atau bucket S3) digunakan untuk aktivitas yang mencurigakan, lengkapi Formulir penyalahgunaan AWS atau hubungi trustandsafety@support.aws.com.
Agar laporan Anda dapat ditindaklanjuti secara lebih efektif, sertakan materi pendukung (kode bukti konsep, output alat, dll.) yang akan berguna untuk membantu kami memahami karakteristik dan keparahan kerentanan tersebut.
Cakupan Amazon CNA
Amazon CNA akan mengeluarkan CVE yang mendukung pelanggan dalam mengatasi kerentanan keamanan yang valid dalam kelas berikut:
- Layanan AWS yang diberikan oleh AWS dan tersedia secara publik bagi pelanggan. (Misalnya, Amazon EC2, Amazon RDS).
- Layanan Amazon yang diberikan oleh Amazon dan tersedia secara publik bagi pelanggan. (Misalnya, Layanan API Penjual Amazon.com).
- Perangkat lunak sumber terbuka dalam organisasi GitHub yang dikelola oleh Amazon atau AWS.
- Perangkat lunak klien yang diterbitkan oleh Amazon atau AWS dan tersedia untuk diunduh dari situs web atau lokasi unduhan yang dimiliki serta dioperasikan oleh kami (misalnya, Amazon Appstore SDK, Amazon Input SDK, Aplikasi Amazon Kindle, Aplikasi Amazon MShop, klien Amazon WorkSpaces).
- Perangkat yang diproduksi oleh Amazon atau AWS dan tersedia bagi pelanggan untuk dibeli dan digunakan (misalnya, Amazon Fire TV, perangkat Amazon Echo, Amazon Kindle, AWS Outpost).
Selain itu, semua persyaratan di bawah ini harus dipenuhi:
- Berdampak pada Pelanggan: Masalah harus ada di dalam kelas yang dimiliki oleh Amazon atau AWS yang tersedia secara publik bagi pelanggan; DAN
- Agensi Pelanggan: Remediasi masalah produk yang didukung atau EOL/EOS memerlukan tindakan pelanggan, termasuk membuat keputusan berbasis risiko dalam menangani remediasi (ATAU pelanggan perlu menilai dampak yang mungkin terjadi) ATAU apabila kerentanan keamanan yang valid akan menjadi publik (ATAU berpotensi menjadi publik); DAN
- Skor CVSS: 4.0 (MEDIUM) atau lebih tinggi.
Masalah layanan, perangkat lunak, atau perangkat keras yang dianggap bukan sebuah kerentanan termasuk, tetapi tidak terbatas pada:
- Konfigurasi non-default atau perubahan yang dibuat menggunakan kredensial yang valid yang diotorisasi dengan benar
- Menarget aset pelanggan Amazon atau AWS (atau situs non-AWS yang di-hosting di infrastruktur AWS)
- Kerentanan apa pun yang diperoleh melalui penyusupan akun pelanggan atau karyawan Amazon atau AWS
- Setiap serangan Penolakan Layanan (DoS) terhadap produk Amazon atau AWS (atau pelanggan Amazon atau AWS)
- Serangan fisik terhadap karyawan, kantor, dan pusat data Amazon atau AWS
- Rekayasa sosial terhadap karyawan, kontraktor, vendor, atau penyedia layanan Amazon atau AWS
- Dengan sengaja mengepos, mentransmisikan, mengunggah, menautkan, atau mengirimkan malware
- Mengejar kerentanan yang mengirim pesan massal yang tidak diminta (spam)
Pelaporan Kerentanan AWS
AWS berkomitmen untuk selalu responsif dan mengabarkan perkembangan kami. Anda akan menerima respons nonotomatis yang mengonfirmasi penerimaan laporan awal Anda dalam 24 jam, informasi terkini yang tepat waktu, dan kabar bulanan di sepanjang interaksi ini. Anda dapat meminta pembaruan kapan saja, dan kami terbuka untuk dialog yang mengklarifikasi masalah atau koordinasi pengungkapan.
Aktivitas yang dianggap bukan sebuah kerentanan di atas juga di luar cakupan Program Pengungkapan Kerentanan AWS. Melakukan salah satu kegiatan yang disebutkan di atas akan mengakibatkan diskualifikasi dari program secara permanen.
Pemberitahuan Publik
Jika berlaku, AWS akan mengoordinasikan pemberitahuan publik tentang setiap kerentanan yang divalidasi dengan Anda. Jika memungkinkan, kami lebih memilih untuk memublikasikan pengungkapan publik masing-masing secara bersamaan.
Untuk melindungi pelanggan kami, AWS memohon agar Anda tidak mengepos atau membagikan informasi tentang potensi kerentanan di lingkungan publik mana pun sampai kami mengatasi kerentanan yang dilaporkan dan memberi tahu pelanggan jika perlu. Selain itu, kami mohon dengan hormat kepada Anda untuk tidak mengepos atau membagikan data apa pun milik pelanggan kami. Harap diperhatikan bahwa waktu yang diperlukan untuk memitigasi kerentanan bergantung pada keparahan kerentanan dan sistem yang terpengaruh.
AWS mengeluarkan pemberitahuan publik dalam bentuk Buletin Keamanan, yang diposting di situs web AWS Security. Individu, perusahaan, dan tim keamanan biasanya mengeposkan pengumuman resmi di situs web masing-masing dan di forum lain dan, jika diperlukan, kami akan menyertakan tautan ke sumber daya pihak ketiga tersebut dalam Buletin Keamanan AWS.
Safe Harbor
AWS percaya bahwa penelitian keamanan yang dilakukan dengan iktikad baik harus mendapat safe harbor. Untuk tujuan safe harbor dalam penelitian keamanan dan pelaporan kerentanan, kami telah mengadopsi Gold Standard Safe Harbor. Kami berharap dapat bekerja sama dengan para peneliti keamanan yang memiliki semangat yang sama untuk melindungi pelanggan kami.
Gold Standard Safe Harbor mendukung perlindungan organisasi dan peretas yang terlibat dalam Penelitian Keamanan dengan Iktikad Baik. “Riset Keamanan dengan Iktikad Baik” adalah mengakses komputer semata-mata untuk pengujian dengan iktikad baik, investigasi, dan/atau koreksi kelemahan atau kerentanan keamanan, di mana aktivitas tersebut dilakukan dengan cara yang didesain untuk menghindari bahaya bagi individu atau publik, dan di mana informasi yang berasal dari aktivitas tersebut digunakan terutama untuk meningkatkan keamanan atau keselamatan kelas perangkat, mesin, atau layanan online dari komputer yang diakses, atau mereka yang menggunakan perangkat, mesin, atau layanan online.
Kami menganggap Penelitian Keamanan dengan Iktikad Baik sebagai aktivitas resmi yang dilindungi dari tindakan hukum yang merugikan. Kami mengesampingkan semua pembatasan yang relevan dalam Ketentuan Layanan (“TOS”) dan/atau Kebijakan Penggunaan yang Dapat Diterima (“AUP”) yang bertentangan dengan standar Penelitian Keamanan dengan Iktikad Baik yang diuraikan di sini.
Artinya, untuk kegiatan yang dilakukan selama program ini aktif, kami:
- Tidak akan menggugat atau melaporkan Anda karena Penelitian Keamanan dengan Iktikad Baik, termasuk karena melewati langkah-langkah teknologi yang kami gunakan untuk melindungi aplikasi yang tercakup; dan,
- Akan mengambil langkah-langkah untuk memberitahukan bahwa Anda melakukan Penelitian Keamanan dengan Iktikad Baik jika orang lain menggugat Anda.
Anda harus menghubungi kami untuk klarifikasi sebelum terlibat dalam perilaku yang menurut Anda mungkin tidak sesuai dengan Penelitian Keamanan dengan Iktikad Baik atau tidak diatur oleh kebijakan kami.
Perlu diingat bahwa kami tidak dapat mengizinkan riset keamanan pada infrastruktur pihak ketiga, dan pihak ketiga tidak terikat oleh pernyataan safe harbour ini.
Kebijakan Pengungkapan
Setelah laporan dikirim, kami akan bekerja untuk memvalidasi kerentanan yang dilaporkan. Jika informasi tambahan diperlukan untuk memvalidasi atau memunculkan kembali masalah, kami akan bekerja sama dengan Anda untuk memperoleh informasi tersebut. Ketika investigasi awal selesai, hasilnya akan dikirimkan kepada Anda bersama dengan rencana untuk penyelesaian dan diskusi pengungkapan publik.
Beberapa hal yang perlu diperhatikan tentang proses tersebut:
- Produk Pihak Ketiga: Jika kerentanan diketahui memengaruhi produk pihak ketiga, kami akan memberi tahu pemilik teknologi yang terpengaruh. Kami akan terus berkoordinasi dengan Anda dan pihak ketiga. Identitas Anda tidak akan diungkapkan kepada pihak ketiga tanpa izin Anda.
- Konfirmasi Non-Kerentanan: Jika masalah tidak dapat divalidasi, atau ternyata tidak termasuk dalam cakupan, hal ini akan disampaikan kepada Anda.
- Klasifikasi Kerentanan: AWS menggunakan Common Vulnerability Scoring System (CVSS) versi 3.1 untuk mengevaluasi potensi kerentanan. Skor yang dihasilkan membantu mengukur keparahan masalah dan memprioritaskan respons kami. Untuk informasi selengkapnya tentang CVSS, lihat situs NVD.
Saat berpartisipasi dalam program pengungkapan kerentanan dengan iktikad baik ini, kami meminta Anda untuk:
- Mematuhi peraturan, termasuk mengikuti kebijakan ini dan perjanjian lain yang terkait. Jika terdapat ketidaksesuaian antara kebijakan ini dan ketentuan lain yang berlaku, ketentuan dalam kebijakan ini akan berlaku;
- Segera laporkan kerentanan apa pun yang Anda temukan;
- Jangan melanggar privasi orang lain, mengganggu sistem kami, memusnahkan data, dan/atau mengganggu kenyamanan pengguna;
- Gunakan hanya saluran yang telah disebutkan untuk mendiskusikan informasi kerentanan dengan kami;
- Beri kami waktu yang wajar sejak laporan awal untuk menyelesaikan masalah itu sebelum Anda mengungkapkannya kepada publik;
- Laksanakan pengujian hanya pada sistem yang berada di dalam cakupan dan hargai sistem dan aktivitas yang berada di luar cakupan;
- Jika kerentanan itu tanpa sengaja membuat Anda dapat mengakses data, akses data itu sesedikit mungkin untuk menunjukkan bukti konsep secara efektif; lalu hentikan uji dan segera kirim laporan jika Anda menemukan data pengguna selama pengujian, seperti Informasi Pengenal Pribadi (PII), Informasi Perawatan Kesehatan Pribadi (PHI), data kartu kredit, atau informasi hak milik;
- Hanya berinteraksi dengan akun uji coba yang Anda miliki atau dengan izin tertulis dari pemegang akun; dan
- Jangan terlibat dalam pemerasan.