Program odměn za zabezpečení
Společnost QNAP nekompromisně dbá na bezpečnost informací a spolupracuje s výzkumnou komunitou v oblasti zabezpečení na identifikaci a opravě slabých míst, aby zajistila větší bezpečnost našich uživatelů, produktů a internetu. Jako poděkování přispěvatelům poskytuje společnost QNAP odměny prostřednictvím našeho programu odměn za zabezpečení.
Rozsah programu
Program odměn přijímá pouze hlášení o bezpečnostních zranitelnostech týkajících se produktů a webových služeb QNAP. Jakákoli bezpečnostní hlášení, která nespadají do rozsahu tohoto programu, nebudou mít nárok na odměnu. Tento program nepřijímá ani neodměňuje bezpečnostní zranitelnosti nalezené v softwaru třetích stran (např. 3rd Party QPKG). Pokud objevíte bezpečnostní problémy v takovém softwaru, kontaktujte prosím přímo příslušné dodavatele nebo vývojáře.
Jak nahlásit slabé místo a získat odměnu?
K zašifrování e-mailu a jeho odeslání na adresu security@qnap.com použijte níže uvedený veřejný šifrovací klíč PGP. Ozveme se vám co nejdříve.
Navrhovaný formát hlášení o zranitelnostech
-
Operační systémy
-
Aplikace
-
Cloudové služby
Šifrovací klíč PGP
Kvalifikace odměn
-
Musíte být prvním výzkumníkem, který slabé místo nahlásí.
-
Nesmíte veřejně sdílet žádné soubory a/nebo podrobnosti týkající se slabých míst. To se týká i nahrávání na všechny veřejně přístupné webové stránky.
-
Tým QNAP PSIRT potvrdil, že nahlášené slabé místo je ověřitelné, replikovatelné a představuje platný bezpečnostní problém.
-
Souhlasíte se všemi podmínkami programu odměn za zabezpečení.
Odměna může být zvýšena na základě těchto aspektů:
-
Integrita formátu: Při hlášení zranitelností operačních systémů, aplikací nebo cloudových služeb dodržujte příklady formátu a uvádějte podrobné informace. Příklady formátu: Operační systémy, aplikace, cloudové služby.
-
Postup reprodukce: Ilustrujte svůj postup k reprodukci zranitelností.
-
Popisy problémů: Jasně a stručně představte řešení problémů a přístup.
-
Další podpůrné informace: Přiložte testovací kód, skripty a vše, co je pro vysvětlení potřeba.
-
Surová data útoků (exploit payload): Pro zajištění integrity dat je vyžadována zpráva v textové podobě. Posouzení zranitelnosti může nesplnit očekávání společnosti QNAP PSIRT, pokud byla síťová užitečná zatížení poskytnuta pouze v podobě obrázků.
Poděkování
Upřímně děkujeme všem výzkumníkům za jejich odbornost a oddanost.
- Andr.Ess
- Himanshu Sondhi
- iothacker_dreamer
- pwnr
- Mohammad Abdullah - Infosec Researcher & Bugbounty hunter
- Nirob Sec
- Sajibe Kanti Sarkar
- 侯留洋
- CataLpa of Hatlab, Dbappsecurity Co. Ltd.
- coral
- huasheng_mangguo
- Nanyu Zhong @ VARAS IIE
- Searat and izut
- Yuze Wu(h1J4cker)
- TOUNSI2
- Ahmed Y. Elmogy.
- Amir Habeeb
- Karim Habeeb
- Corentin '@OnlyTheDuck' BAYET
- Sandro
- Tim Coen
- scsb2001
- Abhinav
- Aditya Singh
- Aksha Chudasama
- Akshay Shelke
- Amit Pandey
- Ashish Rai (octupus)
- Ashish Sharma
- BangBang
- Durvesh Kolhe
- Gaurang
- Gaurang maheta
- Ginikunta Vishal Goud
- Himanshu Sondhi
- Jainam Soni
- K.Buvaneshvaran
- Mangesh Muley
- Milan Solanki (LeoSecurity)
- PUSHKAR KUMAR
- Raj
- Rishyendra M
- S Rahul
- Saurabh Tripathi
- Vaibhav
- Vaibhav Shinde
- YASHU REDDY
- Amethama Luturmas
- Firdaus
- Drak3hft7
- Kazuma Matsumoto of GMO Cybersecurity by IERAE, Inc.
- JILALI SHADOW
- Marouane Mouhtadi (mar0uane)
- Hassaan Ahmed
- Insbat
- Zain Iqbal
- Aliz Hammond of watchTowr
- ZIEN
- Dohwan KIM (neko_hat from Chung-Ang UNIV.)
- Kasper Karlsson
- Kevin Chen
- LJP (DEVCORE Research Team)
- Engin Aydoğan
- Kutay Ergen
- Freddo Espresso (Evangelos Daravigkas)
- Michael Cowell
- Anonymous
- Christopher Anastasio / Fabius Watson
- Trend Micro Zero Day Initiative
- Víctor A. Morales
- Anh Nguyen Le Quoc (h4niz), Tri, Nguyen Huu (trinh), Quy, Cao Ngoc (quycn) of bl4ckh0l3 from Galaxy One
- binhnt
- hyc
- khoadha
- Le Mau Anh Phong at Verichains Cyber Force
- Long Hà
- q5ca, greengrass
Často kladené dotazy
Odměna se určuje podle složitosti úspěšného využití slabého místa, potenciální expozice a procenta zasažených uživatelů a systémů.
Pokud nám videa pomohou pochopit, jak jsou zranitelnosti zneužívány, může výbor pro udělování cen QNAP odměnu zvýšit. Vezměte ale prosím na vědomí, že i tak musí být poskytnuta písemná dokumentace (např. informace o produktu, shrnutí zranitelnosti a kroky k jejímu odstranění), protože nám pomůže v procesu zveřejnění informací o zranitelnosti.
Hlášení o zranitelnostech musí obsahovat alespoň tyto informace: název produktu, číslo verze a buildu, kde se zranitelnost vyskytuje, nebo v případě cloudových služeb adresu URL.
Mělo by také obsahovat shrnutí potenciálních hrozeb, které zranitelnost představuje, spolu s jasnými, podrobnými kroky, jak ji replikovat. K hlášení může být navíc přiloženo video s ukázkou zranitelnosti.
K zašifrování zprávy a jejímu odeslání na adresu security@qnap.com použijte klíč PGP poskytnutý společností QNAP. Systém automaticky odpoví a zašle vám číslo technické podpory, pomocí kterého můžete získat další informace o průběhu přezkumu. Tým QNAP PSIRT aktivně kontaktuje výzkumníka, aby ověřil úplnost předložených informací. Pokud byly poskytnuty všechny požadované informace, obdrží výzkumník do jednoho týdne dopis s potvrzením o zranitelnosti QNAP PSIRT. Dopis bude obsahovat přidělené ID CVE pro nahlášený bezpečnostní problém. Návrh na udělení odměny odešleme e-mailem čtyři týdny od odeslání dopisu s potvrzením o zranitelnosti. Pokud výzkumník souhlasí, očekává se, že společnost QNAP provede platbu 12 týdnů po obdržení odpovědi s potvrzením.
Přihlaste se k odběru QNAP eNews a dostávejte novinky o zabezpečení produktů
Operační systémy
Odměny až do výše 20 000 USD
| Odměna |
Za potvrzená a ohodnocená hlášení o bezpečnostních slabých místech můžete získat odměnu až 20 000 dolarů |
|---|---|
| Produkty v rámci rozsahu |
Přijímají se pouze zprávy o oficiálně vydaných a nejnovějších verzích produktů, aplikací a služeb.
|
| Omezení |
Program odměn za zabezpečení je striktně omezen na slabá místa nalezená v produktech a službách QNAP. Činnosti, které mohou poškodit nebo nepříznivě ovlivnit servery nebo data QNAP, jsou zakázány. Testování slabých míst nesmí porušovat místní nebo tchajwanské zákony. Zprávy o slabých místech se nepřijímají, pokud popisují nebo zahrnují:
|
Aplikace
Odměny až do výše 10 000 USD
| Odměna |
Za potvrzená a ohodnocená hlášení o bezpečnostních slabých místech můžete získat odměnu až 10 000 dolarů |
|---|---|
| Produkty v rámci rozsahu |
Přijímají se pouze zprávy o oficiálně vydaných a nejnovějších verzích produktů, aplikací a služeb. Program přijímá hlášení o bezpečnostních chybách pouze v následujících aplikacích:
|
| Omezení |
Program odměn za zabezpečení je striktně omezen na slabá místa nalezená v produktech a službách QNAP. Činnosti, které mohou poškodit nebo nepříznivě ovlivnit servery nebo data QNAP, jsou zakázány. Testování slabých míst nesmí porušovat místní nebo tchajwanské zákony. Zprávy o slabých místech se nepřijímají, pokud popisují nebo zahrnují:
|
Cloudové služby
Odměny až do výše 5 000 USD
| Odměna |
Za potvrzená a ohodnocená hlášení o bezpečnostních slabých místech můžete získat odměnu až 5 000 dolarů |
|---|---|
| Produkty v rámci rozsahu |
Přijímají se pouze zprávy o oficiálně vydaných a nejnovějších verzích produktů, aplikací a služeb. Program přijímá hlášení o bezpečnostních chybách pouze v následujících doménách:
|
| Omezení |
Program odměn za zabezpečení je striktně omezen na slabá místa nalezená v produktech a službách QNAP. Činnosti, které mohou poškodit nebo nepříznivě ovlivnit servery nebo data QNAP, jsou zakázány. Testování slabých míst nesmí porušovat místní nebo tchajwanské zákony. Zprávy o slabých místech se nepřijímají, pokud popisují nebo zahrnují:
|
Operační systémy
(pole označená * jsou povinná)
-
Produkt*: Název produktu, například QuTS hero
-
Verze*: Číslo verze a buildu, například h5.0.1.2376 build 20230421
-
Shrnutí*: Ve formátu „typ zranitelnosti v umístění“, například Command Injection v abc.cgi
-
Přístupová práva*: Přístupová oprávnění při zneužití zranitelností. Například: Žádný / Běžný uživatel / Skupina správců / Správce.
-
Motivace: Proč začínáte s výzkumem zranitelností?
-
Nástroje: Nástroje, které jste použili při výzkumu zranitelností.
-
Popis: Informace týkající se zranitelnosti
-
například:
-
Stručný popis možných škod
-
Analýza zranitelnosti
-
Jak lze zranitelnost rozpoznat
-
Využívané nástroje
-
-
CWE ID: CWE-XXX, CWE-YYY atd.
-
CAPEC ID: CAPEC-XXX, CAPEC-YYY atd.
-
Skóre CVSS: CVSS:3.X/AV:X/AC:X/PR:X/UI:X/S:X/C:X/I:X/A:X (X.X), CVSS v3.1., viz Base Score Calculator: https://cvss.js.org/
-
Postup reprodukce*: Pokyny krok za krokem k reprodukci
-
Důkaz konceptu: Jakákoli videa, screenshoty nebo exploity
Aplikace
(pole označená * jsou povinná)
-
Aplikace*: Název aplikace, například File Station
-
Verze*: Číslo verze a sestavení, například 2.0.2 (2022/01/26)
-
Shrnutí*: Ve formátu „typ zranitelnosti v umístění“, například Buffer Overflow v aplikaci abc
-
Přístupová práva*: Přístupová oprávnění při zneužití zranitelností. Například: Žádný / Běžný uživatel / Skupina správců / Správce.
-
Motivace: Proč začínáte s výzkumem zranitelností?
-
Nástroje: Nástroje, které jste použili při výzkumu zranitelností.
-
Popis: Informace týkající se zranitelnosti
-
například:
-
Stručný popis možných škod
-
Analýza zranitelnosti
-
Jak lze zranitelnost rozpoznat
-
Využívané nástroje
-
-
CWE ID: CWE-XXX, CWE-YYY atd.
-
CAPEC ID: CAPEC-XXX, CAPEC-YYY atd.
-
Skóre CVSS: CVSS:3.X/AV:X/AC:X/PR:X/UI:X/S:X/C:X/I:X/A:X (X.X), CVSS v3.1., viz Base Score Calculator: https://cvss.js.org/
-
Postup reprodukce*: Pokyny krok za krokem k reprodukci
-
Důkaz konceptu: Jakákoli videa, screenshoty nebo exploity
Cloudové služby
(pole označená * jsou povinná)
-
Doména*: Název domény (například https://account.qnap.com)
-
Shrnutí*: Ve formátu „typ zranitelnosti v umístění“, například XSS v doméně https://account.qnap.com
-
Motivace: Proč začínáte s výzkumem zranitelností?
-
Nástroje: Nástroje, které jste použili při výzkumu zranitelností.
-
Popis: Informace týkající se zranitelnosti
-
například:
-
Stručný popis možných škod
-
Analýza zranitelnosti
-
Jak lze zranitelnost rozpoznat
-
Využívané nástroje
-
-
CWE ID: CWE-XXX, CWE-YYY atd.
-
CAPEC ID: CAPEC-XXX, CAPEC-YYY atd.
-
Skóre CVSS: CVSS:3.X/AV:X/AC:X/PR:X/UI:X/S:X/C:X/I:X/A:X (X.X), CVSS v3.1., viz Base Score Calculator: https://cvss.js.org/
-
Postup reprodukce*: Pokyny krok za krokem k reprodukci
-
Důkaz konceptu: Jakákoli videa, screenshoty nebo exploity
