Programme de prime à la sécurité
QNAP s’engage pour assurer la sécurité de l’information et s’est associé à la communauté de chercheurs de sécurité pour identifier et corriger les vulnérabilités afin de garder nos utilisateurs, nos produits et le réseau en sécurité. Pour remercier ceux qui contribuent à la sécurité, offre des récompenses via son programme de prime à la sécurité.
Champ d’application du programme
Le programme de prime accepte uniquement les rapports de vulnérabilité Sécurité liés aux produits et services web QNAP. Tout rapport Sécurité qui ne relève pas du champ d’application de ce programme ne sera pas éligible à une récompense. Ce programme n’accepte ni ne récompense les vulnérabilités Sécurité trouvées dans des logiciels tiers (par exemple, QPKG tiers). Si vous découvrez des problèmes Sécurité dans ce type de logiciel, veuillez contacter et informer directement les fournisseurs ou développeurs concernés.
Comment signaler la vulnérabilité et obtenir des récompenses ?
Utilisez la clé publique de cryptage PGP ci-dessous pour chiffrer votre e-mail et l’envoyer à security@qnap.com. Nous vous contacterons dès que possible.
Format conseillé des rapports de vulnérabilité
-
Systèmes d’exploitation
-
Applications
-
Services dans le Cloud
Clé de chiffrement PGP
Qualifications des récompenses
-
Vous devez être le premier chercheur à signaler les vulnérabilités.
-
Vous ne devez pas avoir partagé publiquement des fichiers et/ou des détails relatifs à la vulnérabilité. Cela inclut des téléchargements vers des sites web accessibles au public.
-
L'équipe PSIRT du QNAP confirme que la vulnérabilité signalée est vérifiable, reproductible et qu'elle constitue un problème de sécurité valable.
-
Vous acceptez toutes les conditions générales du programme de prime à la sécurité.
La récompense peut être augmentée en fonction de :
-
Intégrité du format : Respectez les exemples de format et fournissez des informations détaillées quand vous signalez des vulnérabilités dans les systèmes d'exploitation, les applications ou les services cloud. Exemples de formats : Systèmes d’exploitation, Applications, Services cloud.
-
Étapes à reproduire : Illustrez vos étapes pour reproduire les vulnérabilités.
-
Description du problème : Présentez de manière claire et concise votre dépannage et votre approche.
-
Autres informations complémentaires : Incluez le code de test, les scripts et tout autre élément nécessaire à votre explication.
-
Données brutes des attaques (charge exploitée) : Un rapport sous forme de texte est nécessaire pour garantir l'intégrité des données. Les évaluations de vulnérabilité peuvent ne pas répondre aux attentes de QNAP PSIRT quand les charges utiles du réseau ont été fournies sous forme d'images uniquement.
Accusé de réception
Nous remercions sincèrement tous les chercheurs pour leur expertise et leur dévouement.
- Andr.Ess
- Himanshu Sondhi
- iothacker_dreamer
- pwnr
- Mohammad Abdullah - Infosec Researcher & Bugbounty hunter
- Nirob Sec
- Sajibe Kanti Sarkar
- 侯留洋
- CataLpa of Hatlab, Dbappsecurity Co. Ltd.
- coral
- huasheng_mangguo
- Nanyu Zhong @ VARAS IIE
- Searat and izut
- Yuze Wu(h1J4cker)
- TOUNSI2
- Ahmed Y. Elmogy.
- Amir Habeeb
- Karim Habeeb
- Corentin '@OnlyTheDuck' BAYET
- Sandro
- Tim Coen
- scsb2001
- Abhinav
- Aditya Singh
- Aksha Chudasama
- Akshay Shelke
- Amit Pandey
- Ashish Rai (octupus)
- Ashish Sharma
- BangBang
- Durvesh Kolhe
- Gaurang
- Gaurang maheta
- Ginikunta Vishal Goud
- Himanshu Sondhi
- Jainam Soni
- K.Buvaneshvaran
- Mangesh Muley
- Milan Solanki (LeoSecurity)
- PUSHKAR KUMAR
- Raj
- Rishyendra M
- S Rahul
- Saurabh Tripathi
- Vaibhav
- Vaibhav Shinde
- YASHU REDDY
- Amethama Luturmas
- Firdaus
- Drak3hft7
- Kazuma Matsumoto of GMO Cybersecurity by IERAE, Inc.
- JILALI SHADOW
- Marouane Mouhtadi (mar0uane)
- Hassaan Ahmed
- Insbat
- Zain Iqbal
- Aliz Hammond of watchTowr
- ZIEN
- Dohwan KIM (neko_hat from Chung-Ang UNIV.)
- Kasper Karlsson
- Kevin Chen
- LJP (DEVCORE Research Team)
- Engin Aydoğan
- Kutay Ergen
- Freddo Espresso (Evangelos Daravigkas)
- Michael Cowell
- Anonymous
- Christopher Anastasio / Fabius Watson
- Trend Micro Zero Day Initiative
- Víctor A. Morales
- Anh Nguyen Le Quoc (h4niz), Tri, Nguyen Huu (trinh), Quy, Cao Ngoc (quycn) of bl4ckh0l3 from Galaxy One
- binhnt
- hyc
- khoadha
- Le Mau Anh Phong at Verichains Cyber Force
- Long Hà
- q5ca, greengrass
FAQ
La récompense est déterminée par la complexité de l’exploitation réussie de la vulnérabilité, le potentiel d’exposition, le pourcentage des utilisateurs et systèmes affectés.
Si les vidéos peuvent nous aider à mieux comprendre la façon dont les vulnérabilités sont exploitées, le comité des récompenses QNAP pourra par conséquence augmenter la récompense. Veuillez noter qu’une documentation écrite doit être tout de même fournie (par ex. informations sur le produit, résumé de la vulnérabilité et étapes à suivre pour la reproduire) car elle nous aide à gérer le processus de divulgation de la vulnérabilité.
Un rapport de vulnérabilité doit au moins inclure les informations suivantes : le nom du produit, la version et le numéro de construction où la vulnérabilité existe ou l’emplacement de l’URL pour les services cloud.
Il doit également fournir un résumé des éventuelles menaces posée par la vulnérabilité, ainsi que des étapes de reproduction clairement détaillées. En outre, le rapport peut être accompagné d’une vidéo démontrant la vulnérabilité.
Veuillez utiliser la clé PGP fournie par QNAP pour crypter le rapport et l’envoyer à security@qnap.com. Le système va répondre automatiquement avec un numéro de support technique, que vous pourrez utiliser pour vous renseigner sur l’état d’avancement de l’examen. L’équipe PSIRT QNAP contactera de manière proactive le chercheur afin de vérifier l’exhaustivité des informations soumises. Si toutes les informations requises ont été fournies, le chercheur recevra une lettre de confirmation de vulnérabilité par le PSIRT de QNAP dans un délai d’une semaine. La lettre inclura l’ID CVE attribué au problème de sécurité signalé. La proposition de récompense sera notifiée par e-mail quatre semaines suivant la date de la lettre de confirmation de la vulnérabilité. Si le chercheur est d’accord, QNAP devrait effectuer le paiement 12 semaines après avoir reçu la réponse de confirmation.
Abonnez-vous aux eNews de QNAP pour recevoir les dernières nouvelles sur la sécurité des produits
Systèmes d’exploitation
Récompenses jusqu’à 20.000 $ US
| Récompense |
Les rapports de vulnérabilité de sécurité confirmés et évalués peuvent recevoir des récompenses allant jusqu’à 20.000 $ US |
|---|---|
| Produits dans le champ d’application |
Seuls les rapports concernant les versions officiellement publiées et récentes des produits, applications et services sont acceptés.
|
| Restrictions |
Le programme de prime à la sécurité est strictement limité aux vulnérabilités trouvées dans les produits et services QNAP. Les actions susceptibles d'endommager ou de nuire aux serveurs ou aux données de QNAP sont interdites. Les tests de vulnérabilité ne doivent pas violer les lois locales ou de Taïwan. Les rapports de vulnérabilité ne sont pas acceptés s’ils décrivent ou impliquent :
|
Applications
Récompenses jusqu’à 10.000 $ US
| Récompense |
Les rapports de vulnérabilité de sécurité confirmés et évalués peuvent recevoir des récompenses allant jusqu’à 10.000 $ US |
|---|---|
| Produits dans le champ d’application |
Seuls les rapports concernant les versions officiellement publiées et récentes des produits, applications et services sont acceptés. Le programme accepte uniquement les rapports des vulnérabilités de sécurité dans les applications suivantes :
|
| Restrictions |
Le programme de prime à la sécurité est strictement limité aux vulnérabilités trouvées dans les produits et services QNAP. Les actions susceptibles d'endommager ou de nuire aux serveurs ou aux données de QNAP sont interdites. Les tests de vulnérabilité ne doivent pas violer les lois locales ou de Taïwan. Les rapports de vulnérabilité ne sont pas acceptés s’ils décrivent ou impliquent :
|
Services de cloud
Récompenses jusqu’à 5.000 $ US
| Récompense |
Les rapports de vulnérabilité de sécurité confirmés et évalués peuvent recevoir des récompenses allant jusqu’à 5.000 $ US |
|---|---|
| Produits dans le champ d’application |
Seuls les rapports concernant les versions officiellement publiées et récentes des produits, applications et services sont acceptés. Le programme accepte uniquement les rapports des vulnérabilités de sécurité dans les domaines suivants :
|
| Restrictions |
Le programme de prime à la sécurité est strictement limité aux vulnérabilités trouvées dans les produits et services QNAP. Les actions susceptibles d'endommager ou de nuire aux serveurs ou aux données de QNAP sont interdites. Les tests de vulnérabilité ne doivent pas violer les lois locales ou de Taïwan. Les rapports de vulnérabilité ne sont pas acceptés s’ils décrivent ou impliquent :
|
Systèmes d'exploitation
(les champs marqués d'un * sont obligatoires)
-
Produit* : Le nom du produit, par exemple QuTS hero
-
Version* : La version et le numéro de construction, par exemple, h5.0.1.2376 build 20230421
-
Résumé* : Au format « Un type de vulnérabilité dans l'emplacement », par exemple, Injection de commande dans abc.cgi
-
Autorisations d'accès* : Les autorisations d'accès quand vous avez exploité les vulnérabilités. Par exemple : Aucun / Utilisateur régulier / Groupe d'administrateurs / Admin.
-
Motivation : Pourquoi commencez-vous la recherche de vulnérabilités ?
-
Outils : Les outils que vous avez utilisés lors de la recherche de vulnérabilités.
-
Description : Informations relatives à la vulnérabilité
-
par exemple :
-
Une courte description des éventuels dommages
-
Analyse de la vulnérabilité
-
Comment la vulnérabilité peut être identifiée
-
Les outils optimisés
-
-
ID CWE : CWE-XXX, CWE-YYY et ainsi de suite
-
ID CAPEC : CAPEC-XXX, CAPEC-YYY et ainsi de suite
-
Score CVSS : CVSS:3.X/AV:X/AC:X/PR:X/UI:X/S:X/C:X/I:X/A:X (X.X), CVSS v3.1., veuillez consulter le calculateur du score de base https://cvss.js.org/
-
Étapes à reproduire* : Instructions étape par étape à reproduire
-
Preuve de faisabilité : Toute vidéo, capture d’écran ou faille
Applications
(les champs marqués d'un * sont obligatoires)
-
Application* : Le nom de l’application, par exemple, File Station
-
Version* : La version et le numéro de construction, par exemple, 2.0.2 (2022/01/26)
-
Résumé* : Au format « Un type de vulnérabilité dans l’emplacement », par exemple, dépassement de mémoire tampon dans l’appli abc
-
Autorisations d'accès* : Les autorisations d'accès quand vous avez exploité les vulnérabilités. Par exemple : Aucun / Utilisateur régulier / Groupe d'administrateurs / Admin.
-
Motivation : Pourquoi commencez-vous la recherche de vulnérabilités ?
-
Outils : Les outils que vous avez utilisés lors de la recherche de vulnérabilités.
-
Description : Informations relatives à la vulnérabilité
-
par exemple :
-
Une courte description des éventuels dommages
-
Analyse de la vulnérabilité
-
Comment la vulnérabilité peut être identifiée
-
Les outils optimisés
-
-
ID CWE : CWE-XXX, CWE-YYY et ainsi de suite
-
ID CAPEC : CAPEC-XXX, CAPEC-YYY et ainsi de suite
-
Score CVSS : CVSS:3.X/AV:X/AC:X/PR:X/UI:X/S:X/C:X/I:X/A:X (X.X), CVSS v3.1., veuillez consulter le calculateur du score de base https://cvss.js.org/
-
Étapes à reproduire* : Instructions étape par étape à reproduire
-
Preuve de faisabilité : Toute vidéo, capture d’écran ou faille
Services dans le Cloud
(les champs marqués d'un * sont obligatoires)
-
Domaine* : Le nom de domaine (par exemple, https://account.qnap.com)
-
Résumé* : Au format « Un type de vulnérabilité dans l’emplacement », par exemple, XSS sur https://account.qnap.com
-
Motivation : Pourquoi commencez-vous la recherche de vulnérabilités ?
-
Outils : Les outils que vous avez utilisés lors de la recherche de vulnérabilités.
-
Description : Informations relatives à la vulnérabilité
-
par exemple :
-
Une courte description des éventuels dommages
-
Analyse de la vulnérabilité
-
Comment la vulnérabilité peut être identifiée
-
Les outils optimisés
-
-
ID CWE : CWE-XXX, CWE-YYY et ainsi de suite
-
ID CAPEC : CAPEC-XXX, CAPEC-YYY et ainsi de suite
-
Score CVSS : CVSS:3.X/AV:X/AC:X/PR:X/UI:X/S:X/C:X/I:X/A:X (X.X), CVSS v3.1., veuillez consulter le calculateur du score de base https://cvss.js.org/
-
Étapes à reproduire* : Instructions étape par étape à reproduire
-
Preuve de faisabilité : Toute vidéo, capture d’écran ou faille
