Pelaporan Kerentanan

Menangani potensi kerentanan dalam segala aspek layanan cloud kami

Amazon Web Services sangat mengutamakan keamanan, dan menyelidiki semua kerentanan yang dilaporkan. Halaman ini mendeskripsikan praktik kami untuk menangani potensi kerentanan dalam segala aspek layanan cloud kami.

Melaporkan Dugaan Kelemahan

  • Amazon Web Services (AWS): Jika Anda ingin melaporkan kelemahan atau mengalami masalah keamanan terkait layanan cloud AWS atau proyek sumber terbuka, harap kirim informasi tersebut dengan menghubungi aws-security@amazon.com. Jika Anda ingin melindungi isi kiriman Anda, Anda dapat menggunakan kunci PGP kami.
  • Kebijakan Dukungan Pelanggan AWS untuk Uji Penetrasi: Pelanggan AWS dipersilakan untuk melaksanakan penilaian keamanan atau pengujian penetrasi terhadap infrastruktur AWS mereka tanpa persetujuan terlebih dahulu untuk layanan terdaftar. Permintaan Autorisasi untuk Kejadian Simulasi Lainnya harus dikirim melalui formulir Kejadian Simulasi. Untuk pelanggan yang beroperasi di Wilayah AWS Tiongkok (Ningxia & Beijing), silakan gunakan formulir Kejadian Simulasi ini.
  • Penyalahgunaan AWS: Jika Anda menduga bahwa sumber daya AWS (seperti instans EC2 atau bucket S3) digunakan untuk aktivitas yang mencurigakan, Anda dapat melaporkannya ke Tim Penyalahgunaan AWS menggunakan formulir Laporkan penyalahgunaan Amazon AWS, atau dengan menghubungi abuse@amazonaws.com.
  • Informasi Kepatuhan AWS: Akses ke laporan kepatuhan AWS tersedia melalui AWS Artifact. Jika Anda memiliki pertanyaan tambahan terkait Kepatuhan AWS, silakan hubungi melalui formulir intake mereka.
  • Amazon.com (Ritel): Jika Anda mengalami masalah keamanan dengan ritel Amazon.com (Ritel), Pusat Penjual, Amazon Payments, atau masalah terkait lainnya seperti pesanan mencurigakan, tagihan kartu kredit tidak sah, email mencurigakan, atau pelaporan kerentanan, kunjungi halaman web Keamanan untuk Ritel kami.

Agar kami dapat merespons laporan Anda secara lebih efektif, berikan materi pendukung (kode bukti konsep, output alat, dll.) yang akan berguna dalam membantu kami memahami sifat dan keparahan kerentanan tersebut.

Informasi yang Anda bagikan dengan AWS sebagai bagian dari proses ini dijaga kerahasiaannya di dalam AWS. AWS hanya akan membagikan informasi ini dengan pihak ketiga jika kerentanan yang Anda laporkan ternyata memengaruhi produk pihak ketiga, dalam hal ini kami akan membagikan informasi ini dengan penulis atau produsen produk pihak ketiga tersebut. Jika tidak, AWS hanya akan membagikan informasi ini sebagaimana diizinkan oleh Anda.

AWS akan meninjau laporan yang dikirim, dan menetapkan nomor pelacakannya. Selanjutnya kami akan merespons Anda, dengan menyatakan penerimaan laporan, dan menguraikan langkah berikutnya dalam proses.

SLA untuk Evaluasi oleh AWS

AWS berkomitmen untuk merespons dengan cepat dan terus memberi tahu Anda tentang progres kami ketika kami menyelidiki dan/atau memitigasi masalah keamanan yang Anda laporkan. Anda akan menerima respons non-otomatis di kontak awal Anda dalam waktu 24 jam, yang mengonfirmasi penerimaan kerentanan yang Anda laporkan. Anda akan menerima info progres dari AWS minimal setiap lima hari kerja AS.

Pemberitahuan Publik

Jika berlaku, AWS akan mengoordinasikan pemberitahuan publik tentang setiap kerentanan yang divalidasi dengan Anda. Jika memungkinkan, kami lebih memilih agar masing-masing pengungkapan publik kami diposting secara serentak.

Untuk melindungi pelanggan kami, AWS meminta Anda untuk tidak memposting atau membagikan informasi apa pun tentang potensi kerentanan secara publik hingga kami telah meneliti, merespons, dan menangani kerentanan yang dilaporkan, dan memberi tahu pelanggan jika perlu. Selain itu, kami meminta dengan hormat kepada Anda untuk tidak memposting atau membagikan data apa pun milik pelanggan kami. Mengatasi kerentanan yang dilaporkan secara valid akan memakan waktu, dan jadwal akan bergantung pada tingkat keparahan kerentanan dan sistem yang terpengaruh.

AWS membuat pemberitahuan publik berbentuk Buletin Keamanan, yang diposting di situs web AWS Security Center. Individu, perusahaan, dan tim keamanan biasanya memposting pengumuman resmi di situs webnya sendiri dan di forum lain dan bila relevan, kami akan menyertakan link ke sumber daya pihak ketiga tersebut dalam Buletin Keamanan AWS.  

Safe Harbor

AWS percaya bahwa penelitian keamanan yang dilakukan dengan iktikad baik harus disediakan secara safe-harbor. Kami telah mengadopsi Persyaratan Inti Disclose.io, yang tunduk pada ketentuan di bawah ini, dan kami berharap dapat bekerja sama dengan peneliti keamanan yang memiliki semangat yang sama untuk melindungi pelanggan AWS.

Cakupan

Aktivitas berikut berada di luar cakupan Program Pelaporan Kerentanan AWS. Melakukan salah satu aktivitas di bawah ini akan menyebabkan diskualifikasi dari program secara permanen.

  1. Menargetkan aset pelanggan AWS atau situs non-AWS yang dihosting di infrastruktur kami
  2. Kerentanan apa pun yang diperoleh melalui penyusupan akun pelanggan atau karyawan AWS
  3. Setiap serangan Denial of Service (DoS) terhadap produk AWS atau pelanggan AWS
  4. Serangan fisik terhadap karyawan, kantor, dan pusat data AWS
  5. Rekayasa sosial karyawan, kontraktor, vendor, atau penyedia layanan AWS
  6. Dengan sengaja memposting, mentransmisikan, mengupload, menautkan, atau mengirim malware
  7. Mengejar kerentanan yang mengirim pesan massal yang tidak diminta (spam)

Kebijakan Pengungkapan

Setelah laporan dikirim, AWS akan bekerja untuk memvalidasi kerentanan yang dilaporkan. Jika informasi tambahan diperlukan untuk memvalidasi atau memunculkan kembali masalah, AWS akan bekerja dengan Anda untuk memperoleh informasi tersebut. Ketika penyelidikan awal selesai, hasilnya akan dikirimkan kepada Anda bersama dengan rencana untuk penyelesaian dan diskusi pengungkapan publik.

Beberapa hal yang perlu diperhatikan tentang proses AWS:

  1. Produk Pihak Ketiga: Banyak vendor menawarkan produk dalam AWS cloud. Jika kerentanan didapati memengaruhi produk pihak ketiga, AWS akan memberi tahu pemilik teknologi yang terpengaruh. AWS akan terus berkoordinasi dengan Anda dan pihak ketiga terkait. Identitas Anda tidak akan diungkapkan kepada pihak ketiga tanpa izin Anda.
  2. Konfirmasi Non-Kerentanan:Jika masalah tidak dapat divalidasi, atau terbukti bukan berasal dari dalam produk AWS, hal ini akan disampaikan kepada Anda.
  3. Klasifikasi Kerentanan: AWS menggunakan Common Vulnerability Scoring System (CVSS) versi 3.1 untuk mengevaluasi potensi kerentanan. Skor yang dihasilkan membantu menguantifikasi keparahan masalah dan memprioritaskan respons kami. Untuk informasi lebih lanjut tentang CVSS, silakan lihat situs NVD.
Hubungi Perwakilan Bisnis AWS
Ada Pertanyaan? Hubungi perwakilan bisnis AWS
Menjejalahi peran keamanan?
Daftar sekarang »
Menginginkan info terkini tentang Keamanan AWS?
Ikuti kami di Twitter »